使用ESCAPE关键字和应用层转义可安全处理MySQL通配符。通过在SQL中定义转义字符(如反斜杠),并结合程序代码预处理用户输入的%和_,能防止其被误解释为通配符;即使使用参数化查询也需手动转义这些字符,以确保LIKE查询既安全又准确。
在使用 MySQL 通配符进行模糊查询时(如 LIKE 操作中使用的 % 和 _),如果用户输入未经过处理,容易引发 SQL 注入或查询结果异常。因此,对通配符进行安全过滤是保障数据库安全和查询准确的关键步骤。
理解 MySQL 通配符的特殊含义
MySQL 中的 LIKE 查询支持以下两个主要通配符:
- %:匹配任意数量的字符(包括零个字符)
- _:匹配单个字符
如果用户的搜索关键词中本身包含这两个字符,并且你希望将其作为普通字符处理(而不是通配符),就必须进行转义。
使用 ESCAPE 关键字进行通配符转义
MySQL 允许通过 ESCAPE 指定一个转义字符,将特殊通配符当作普通字符处理。例如,要查找包含百分号 "%" 的数据,可以这样写:
SELECT * FROM users WHERE name LIKE '%\%%' ESCAPE '\';这里反斜杠 \ 被定义为转义字符,因此 \% 表示字面意义上的 "%",而不是通配符。
同理,搜索包含下划线的字段:
SELECT * FROM users WHERE name LIKE '%\_%' ESCAPE '\';在应用层对用户输入进行预处理
更安全的做法是在程序代码中对用户输入的特殊字符进行过滤或转义。例如,在 PHP 中可以这样做:
$keyword = $_GET['keyword'];
$safe_keyword = str_replace(['%', '_'], ['\%', '\_'], $keyword);
$sql = "SELECT * FROM users WHERE name LIKE '%$safe_keyword%' ESCAPE '\\'";
这样无论用户输入什么内容,% 和 _ 都会被转义,避免其被解释为通配符。
如果你使用的是预处理语句(Prepared Statements),虽然参数不会改变 SQL 结构,但仍需注意:通配符仍会在 LIKE 中生效。因此,若用户输入本意是精确匹配文本中的 % 或 _,依然需要手动转义。
结合参数化查询与手动转义提升安全性
推荐做法是:使用参数化查询防止 SQL 注入,同时在拼接 LIKE 模式时对特殊字符进行转义。
例如在 Python + MySQLdb 或 PyMySQL 中:
keyword = user_input.replace('%', '\\%').replace('_', '\\_')cursor.execute("SELECT * FROM users WHERE name LIKE %s ESCAPE '\\'", [f'%{keyword}%'])
这样既防止了 SQL 注入,又确保通配符按字面意义处理。
基本上就这些。关键是明白:通配符本身不是漏洞,但不当处理用户输入会导致逻辑错误或安全隐患。正确使用 ESCAPE 并在应用层转义特殊字符,就能安全地使用 LIKE 查询。
