如果不是 babyken 的提醒,这个错误我想我还会一直犯下去。
事情起因,帮 babyken 做了一个 0day 查询的脚本,脚本很简单,就是简单的取用户输入的值做 like 操作查询数据库。做好后经测试一直运行很好。可是今天 babyken 告诉我说有个bug,输入 ___ 或 .__ 等类似的关键字时,会把数据库中的所有记录都取出来。
偶又试了以前写过的几个应用,寒,都有这个问题。。。
看起来是sql本身对like的处理问题。问了几个朋友也都没有注意过。后来在mysql手册上找到答案:
pattern matching using sql simple regular expression comparison. returns 1 (true) or 0 (false). with like you can use the following two wildcard characters in the pattern:
char description
% matches any number of characters, even zero characters
_ matches exactly one character
当时感觉就是汗啊~~ 以前怎么自己就没有注意过呢?
解决办法是把用户的输入中的 _ 和 % 转义。
不知道是只是mysql有这个问题,还是其它数据也有。希望熟悉其它数据库应用的朋友试一下。
相关mysql说明页面:http://www.mysql.com/doc/en/string_comparison_functions.html
2004年1月16日22时25分补记:
与xdanger探讨后发现,目前网上大部分的php+mysql程序都存在此bug,ipb和phpbb也不例外,vbb中被过滤掉了。看起来这应该是一个值得引起重视的问题了