好的,所以我对 php 和 mysql 还很陌生。我正在为 mysql 数据库创建一个 php 前端。我正在使用 PDO 驱动程序访问数据库,因为它可以防止 sql 注入(inject)攻击。到目前为止,一切都很好,直到我遇到这个问题。我有一个搜索功能,用户可以在其中输入完整或部分公司名称来搜索有关它的数据。
这是我用来在数据库中进行搜索的 PDO 语句:
SELECT CompName FROM CompanyName
WHERE CompName REGEXP :name
ORDER BY CompName ASC LIMIT 1
然后我可以准备,将用户在搜索字段中键入的内容绑定(bind)到参数名称并执行语句。只要用户不键入任何元字符,它就可以工作。这是我插入到 PDO 语句中的非常基本的正则表达式,而不是名称:
^whatusertyped - 因为最初我正在寻找一个完整的匹配项。由于某些公司名称确实包含句点,因此我希望用户能够键入这些字符和我的正则表达式以将它们作为文字而不是元字符。到目前为止,这就是我一直在替换元字符以获取其字面含义的方式:
用户类型:C. 查找以 C 开头的公司名称。
php 函数插入 ^ 和\\\\以获得 ^C\\的输出。
mysql 获取:^C\\。并在公司名称的开头搜索 C.,其中句号是字面意思,而不是说“寻找通配符”。
所以我正在尝试使用 C。因为数据库中有一家公司的名称以该名称开头,我应该得到一个匹配项,但我没有,PDO 语句返回一个空数组。
我试过查询:
SELECT CompName FROM CompanyName
WHERE CompName REGEXP "^C\\\\."
ORDER BY CompName ASC LIMIT 1
直接在 mysql 中返回一个匹配项,我也直接在 PHP 中执行查询而没有准备、绑定(bind)并返回一个匹配项。在我看来,问题在于准备搜索词并将其绑定(bind)到参数,但我一直无法弄清楚它到底是什么以及如何解决它。我真的很想像我说的那样使用 bind 和 prepare 来避免 sql 注入(inject)。
如有任何帮助,我们将不胜感激。希望我清楚地解释了问题。
最佳答案
我相信您绑定(bind)到 :name
的值应该只是 ^C\.
,而不是 ^C\\.
。您不需要为 sql 级别做任何转义,只需为 regex 级别(即 \.
用于文字 .
).
另外,考虑使用 WHERE CompName LIKE 'C.%'
。您在这里不需要正则表达式。你会像这样使用:
function like_escape($s) {
// Do like-expression escaping
return addcslashes($s, '%_');
}
$searchprefix = 'C.';
$sql = 'SELECT CompName FROM CompanyName WHERE CompName LIKE ? ORDER BY CompName ASC';
$stmt = $db->prepare($sql);
$likeclause = like_escape($searchprefix).'%';
$db->bindValue(1, $likeclause, PDO::PARAM_STR);
$stmt->execute();
关于php - 将正则表达式绑定(bind)到 PDO 语句中的 PDO 参数,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8620641/