如何在 PostgreSQL 查詢中執行文字模式匹配以避免無意中擴大搜尋結果？

PostgreSQL 查詢中的文字模式符合

在PostgreSQL 中，在處理使用者提供的輸入時，對字串列執行LIKE 模式匹配需要特別注意。包含特殊字元（例如“_”或“%”）的未經驗證的輸入可能會無意中擴大搜尋結果。為了解決這個問題，有必要確保這些字元按字面意思解釋。

客戶端或伺服器端轉義

是否處理轉義的決定客戶端或伺服器端取決於特定要求。客戶端轉義涉及在將應用程式程式碼中的使用者輸入發送到資料庫之前對其進行預處理。這種方法提供了更多的控制，但需要額外的處理邏輯。

伺服器端轉義

PostgreSQL 為伺服器端轉義提供了更優雅的解決方案。透過在 LIKE 語句中使用 ESCAPE 子句，您可以指定用於引用通配符的特殊字元。這可以防止它們被解釋為正規表示式元字元。

例如，以下查詢將匹配確切的字串「rob」：

SELECT * FROM users WHERE name LIKE 'rob%' ESCAPE '^'

轉義注意事項

使用伺服器端轉義時，重要的是要考慮以下內容：

• 預設轉義字元： 預設轉義字元是反斜線()，但可以使用ESCAPE 子句更改它。
• 雙轉義： 要從字面上匹配單個轉義字符，必須將其轉義兩次（例如， 'rob^%node1^^node2.uucp@%' ESCAPE '^').
• 非標準一致字串： 在先前的PostgreSQL 版本中，standard_conforming_strings 為OFF，反斜線轉義字元可能會用於其他目的。在這種情況下，建議使用替代引號字元。
• SQL 注入：使用伺服器端轉義時，清理使用者輸入以防止 SQL 注入至關重要。

Go-PGSQL範例

對於Go-PGSQL，您可以使用下列查詢來執行文字模式比對：

db.Query("SELECT * from USERS where name like replace(replace(replace(,'^','^^'),'%','^%'),'_','^_') ||'%' ESCAPE '^'",
variable_user_input);

此查詢使用伺服器端替換來轉義通配符，這是一種替代方法轉義字元和雙重轉義以確保文字匹配，同時防止SQL 注入。

以上是如何在 PostgreSQL 查詢中執行文字模式匹配以避免無意中擴大搜尋結果？的詳細內容。更多資訊請關注PHP中文網其他相關文章！