假设我们有以下代码(用于某种搜索或类似)：

$stmt = $pdo->prepare("SELECT * FROM users WHERE username LIKE ?");
$stmt->execute(array('%' . $username . '%'));

提供的用户名被正确转义,但字符％(= 0或更多任意字符)和_(=正好1个任意字符)被MySQL解释为通配符.

我知道用户可以输入％或_进行搜索,如果我希望搜索功能正常工作,我应该将其转义. (在set_pt和结果中获取setopt的情况下).

但我的问题是：有人可以利用这个吗？如果是的话,有人可以利用这个以及如何预防它？下面的功能是否足够？

function escape_like_string($str) {
  return str_replace(Array('%', '_'), Array('\%', '\_'), $str);
}

我能想到的一种可能性是输入大量的％,因此服务器需要分配大量内存.这会有用吗？

解决方法:

Could someone exploit this?

对于SQL注入？没有.

对于喜欢复活节蛋的行为？大概.在这种情况下,如果您不希望让用户在此搜索中使用通配符,您可以执行以下两项操作：

>正确的逃脱通配符(以及转义字符),

str_replace(array('\\', '%', '_'), array('\\\\', '\\%', '\\_'), $str);
// or:
str_replace(array('|', '%', '_'), array('||', '|%', '|_'), $str);
// with SELECT * FROM users WHERE username LIKE ? ESCAPE '|'

>或使用LOCATE(substr,str)> 0找到完全匹配.