内容简介:背景:为了防范 SQL 注入攻击, 在查询 mysql 的时候, 我们会选择参数化查询. 但是, 有些情况比较特别, 传入的参数需要特别处理才可以传入, 常见的就是 in 和 like 的场景.1 模糊查询 like
背景:
为了防范 SQL 注入攻击, 在查询 mysql 的时候, 我们会选择参数化查询. 但是, 有些情况比较特别, 传入的参数需要特别处理才可以传入, 常见的就是 in 和 like 的场景.
1 模糊查询 like
login = "%" + login + "%" db.query(`select * from test where login like ? or id like ?`, login, login)
有的 mysql 驱动库需要对 % 符号进行转义, 比如替换成 %%
2 in 查询
ids = [1, 2, 3] db.query(`select * from test where id in (?, ?)`, ids[0], ids[1], ids[2])
日常开发中, ids 的数量往往是不确定的, 因此要填多少个参数也不确定. 如果是纯数字的 in 查询, 可以考虑转为字符串拼接的方式, 也不会有 sql 注入的问题 (不会改变 sql 的语义).
也可以考虑下面这种做法:
先循环拼接出 sql 语句部分的 ? 占位符号: select * from test where id in (?, ?)
然后把参数的 list 展开传入:
db.query(`select * from test where id in (?, ?)`, ids…)
如果还有其他条件的参数需要占位, 可以 append 到 ids 中, 依次展开:
ids = append(ids, login) db.query(`select * from test where id in (?, ?) and login = ?`, ids…)
以上所述就是小编给大家介绍的《Mysql 参数化查询 in 和 like》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- Java内部DNS查询实现和参数设置
- c# – 带参数的ASP.NET ODBC查询
- REST API设计优秀实践之参数与查询的使用
- MySQL体系结构与参数文件及查询优化器详解
- ThinkPHP 5.1.25 发布,改进查询参数绑定和浮点型支持
- ThinkPHP 5.1.25 发布,改进查询参数绑定和浮点型支持
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
