主页 > MySQL教程 > 正文

mysql 的Escape转义字符串

一、转义的意义


用户输入假如没有任何约束的话,则有必要对特别字符进行改换。 

假如对单引号不进行改换,轻者不能正常履行功用,重则会发作数据库过错,乃至或许导致体系溃散。


二、需求转义的字符类型


在字符串中,某些序列具有特别意义。这些序列均用反斜线(‘\’)开端,即所谓的转义字符。MySQL辨认下面的转义序列:

\0

ASCII 0(NUL)字符。

\'

单引号(‘'’)。

\"

双引号(‘"’)。

\b

退格符。

\n

换行符。

\r

回车符。

\t

tab字符。

\Z

ASCII 26(操控(Ctrl)-Z)。该字符能够编码为‘\Z’,以答应你处理在Windows中ASCII 26代表文件完毕这一问题。(假如你企图运用mysql db_name < file_name,ASCII 26会带来问题)。

\\

反斜线(‘\’)字符。

\%

‘%’字符。拜见表后边的注解。

\_

‘_’字符。拜见表后边的注解。

这些序列对大小写灵敏。例如,‘\b’解释为退格,但‘\B’解释为‘B’。

‘\%’和‘\_’序列用于查找或许会解释为通配符的形式匹配环境中的‘%’和‘_’文字实例。请注意假如你在其它环境中运用‘\%’或‘\_’,它们回来字符串‘\%’和‘\_’,而不是‘%’和‘_’。

在其它转义序列中,反斜线被疏忽。也便是说,转义字符解释为好像没有转义。

有几种办法能够在字符串中包括引号:

在字符串内用‘'’引证的‘'’能够写成‘''’。

在字符串内用‘"’引证的‘"’能够写成‘""’。

能够在引号前加转义字符(‘\’)。

在字符串内用‘"’引证的‘'’不需求特别处理,不需求用双字符或转义。相同,在字符串内用‘'’引证的‘"’也不需求特别处理。

下面的SELECT句子显现了引证和转义怎么作业:

mysql> SELECT 'hello', '"hello"', '""hello""', 'hel''lo', '\'hello';

+-------+---------+-----------+--------+--------+

| hello | "hello" | ""hello"" | hel'lo | 'hello |

+-------+---------+-----------+--------+--------+

mysql> SELECT "hello", "'hello'", "''hello''", "hel""lo", "\"hello";

+-------+---------+-----------+--------+--------+

| hello | 'hello' | ''hello'' | hel"lo | "hello |

+-------+---------+-----------+--------+--------+

mysql> SELECT 'This\nIs\nFour\nLines';

+--------------------+

| This

Is

Four

Lines |

+--------------------+

mysql> SELECT 'disappearing\ backslash';

+------------------------+

| disappearing backslash |

+------------------------+

假如你想要在字符串列内刺进二进制数据(例如BLOB),有必要经过转义序列表明下面的字符:

NUL

NUL字节(ASCII 0)。用‘\0’表明该字符(反斜线后边跟一个ASCII‘0’字符)。

\

反斜线(ASCII 92)。用‘\\’表明该字符。

'

单引号(ASCII 39)。用‘\'’表明该字符。

"

双引号(ASCII 34)。用‘\"’表明该字符。

当编写运用程序时,在包括这些特别字符的字符串用于发送到MySQL服务器的SQL句子中的数据值之前,有必要对它们正确进行转义。能够用两种办法来完结:

用转义特别字符的函数处理字符串。例如,在C程序中,能够运用mysql_real_escape_string() C API函数来转义字符。拜见25.2.3.52节,“mysql_real_escape_string()”。Perl DBI接口供给一个quote办法来将特别字符转换为正确的转义序列。拜见25.4节,“MySQL Perl API”。

显式转义特别字符,许多MySQL API供给了占位符功用,答应你在查询字符串中刺进特别符号,然后当你宣布查询时将数据值同它们绑定起来。在这种情况下,API重视转义值中的特别字符。

3、详细的运用


(1)单引号 

不过逃避办法却十分简略,只要将单引号[']转换成两个单引号['']就能够了。 

例:SELECT * FROM TBL WHERE COL = 'ABC''DEF'; 

(2)通配符

含糊查询的句子尽管不会发作SQL过错,但是不进行逃避的话,则无法得到要检索的值。


逃避办法较单引号杂乱。需求运用转义符。将[%]转为[/%]、[_]转为[/_],

然后再加上[ESCAPE '/']就能够了。 

例:SELECT * FROM TBL WHERE COL LIKE 'ABC/%/_%' ESCAPE '/'; 

 最终一个%是通配符。 

(3)全角字符

假如做日文项目的话,会呈现全角字符的[%]、[_],

而这两个全角字符相同会作为半角通配符处理。所以在改换时,一起需求将全角的[%]、[_]进行改换。 

例:SELECT * FROM TBL WHERE COL LIKE 'ABC/%/_/%/_%' ESCAPE '/'; 

(4)转义符

改换成这样好像完毕了,但是不要忘了还有转义符本身,假如用户输入转义符的话,


以上的处理就会发作SQL过错。所以也有必要对转义符进行改换。改换办法便是将[/]转换为[//]。

例:SELECT * FROM TBL WHERE COL LIKE 'ABC/%/_/%///_%' ESCAPE '/'; 

(5)字符类型

以上的操作都针对于一般的数据类型,如CHAR、VARCHAR2。


假如呈现NCHAR、NVARCHAR2的话,以上的处理就会呈现ORA-01425过错。

假如改成以下写法,则会发作ORA-01424过错。 

SELECT * FROM TBL WHERE COL LIKE '%/_%' ESCAPE TO_NCHAR('/') 

正确的写法应该是 

SELECT * FROM TBL WHERE COL LIKEC '%/_%' ESCAPE TO_NCHAR('/') 

(6)含糊查询like

最终要阐明的是每个like都应该写ESCAPE句子。 

例:

SELECT * FROM TBL 

WHERE COL1 LIKE '%/_%' ESCAPE '/' OR COL2 LIKE '%/_%' ESCAPE '/' 

SQL> select * from test;

TEST

--------------------

sdd_kk

d'd

dfsfsa

dffa%asfs

12345

1%2345

1%54321

2%54321

%%54321

A&B

已挑选9行。

(7)特别字符

其间包括特别的字符分别为%,_,&等等,有或许包括这些字符的数据含有过错,或许需求查找包括这些字符的数据。


SQL> select * from test where test like 'sdd _%' escape ' ';

TEST

--------------------

sdd_kk

1)转义字符为' '(空格);

SQL> select * from test where test like 'sdd/_%' escape '/';

TEST

--------------------

sdd_kk


上一篇:晋级MySQL5.7,开发不得不注意的坑
下一篇:MySQL like查询字符转义遇到的坑

PythonTab微信大众号:

Python技能交流合作群 ( 请勿加多个群 ):

群1: 87464755

群2: 333646237

群3: 318130924

群4: 385100854