如何在不删除清理的情况下在 MySQL 中使用 LIKE?
How can I use LIKE in MySQL without removing sanitization?
我正在使用 mysql2 包来 运行 我的 SQL 查询,我正在尝试使用 LIKE 语法。我的问题是我需要在变量周围添加 %%,但我不能这样做,因为当我注入变量时,它注入了 SQL 注入证明,因此无法工作。我发现这样做的唯一方法是将变量直接放入查询中(可以 SQL 注入)。我什至尝试用 %% 包装字符串,但两者都可以。
WITH SQL INJECTION PROTECTION (WONT RETURN ANYTHING):
await database.execute('SELECT * FROM products WHERE title LIKE %?%', [req.body.query]);
WITHOUT SQL INJECTION PROTECTION (RETURNS):
await database.execute(`SELECT * FROM products WHERE title LIKE %${req.body.query}%`);
实际上,正确的做法是将通配符字符串绑定到空 ? 占位符:
var query = 'SELECT * FROM products WHERE title LIKE ?';
await database.execute(query, ['%' + req.body.query + '%']);
我正在使用 mysql2 包来 运行 我的 SQL 查询,我正在尝试使用 LIKE 语法。我的问题是我需要在变量周围添加 %%,但我不能这样做,因为当我注入变量时,它注入了 SQL 注入证明,因此无法工作。我发现这样做的唯一方法是将变量直接放入查询中(可以 SQL 注入)。我什至尝试用 %% 包装字符串,但两者都可以。
WITH SQL INJECTION PROTECTION (WONT RETURN ANYTHING):
await database.execute('SELECT * FROM products WHERE title LIKE %?%', [req.body.query]);
WITHOUT SQL INJECTION PROTECTION (RETURNS):
await database.execute(`SELECT * FROM products WHERE title LIKE %${req.body.query}%`);
实际上,正确的做法是将通配符字符串绑定到空 ? 占位符:
var query = 'SELECT * FROM products WHERE title LIKE ?';
await database.execute(query, ['%' + req.body.query + '%']);