一、转义的意义
用户输入如果没有任何限制的话,则必须对特殊字符进行变换。
如果对单引号不进行变换,轻者不能正常执行功能,重则会发生数据库错误,甚至可能导致系统崩溃。
二、需要转义的字符类型
在字符串中,某些序列具有特殊含义。这些序列均用反斜线(‘\’)开始,即所谓的转义字符。MySQL识别下面的转义序列:
\0
ASCII 0(NUL)字符。
\'
单引号(‘'’)。
\"
双引号(‘"’)。
\b
退格符。
\n
换行符。
\r
回车符。
\t
tab字符。
\Z
ASCII 26(控制(Ctrl)-Z)。该字符可以编码为‘\Z’,以允许你解决在Windows中ASCII 26代表文件结尾这一问题。(如果你试图使用mysql db_name < file_name,ASCII 26会带来问题)。
\\
反斜线(‘\’)字符。
\%
‘%’字符。参见表后面的注解。
\_
‘_’字符。参见表后面的注解。
这些序列对大小写敏感。例如,‘\b’解释为退格,但‘\B’解释为‘B’。
‘\%’和‘\_’序列用于搜索可能会解释为通配符的模式匹配环境中的‘%’和‘_’文字实例。请注意如果你在其它环境中使用‘\%’或‘\_’,它们返回字符串‘\%’和‘\_’,而不是‘%’和‘_’。
在其它转义序列中,反斜线被忽略。也就是说,转义字符解释为仿佛没有转义。
有几种方式可以在字符串中包括引号:
在字符串内用‘'’引用的‘'’可以写成‘''’。
在字符串内用‘"’引用的‘"’可以写成‘""’。
可以在引号前加转义字符(‘\’)。
在字符串内用‘"’引用的‘'’不需要特殊处理,不需要用双字符或转义。同样,在字符串内用‘'’引用的‘"’也不需要特殊处理。
下面的SELECT语句显示了引用和转义如何工作:
mysql> SELECT 'hello', '"hello"', '""hello""', 'hel''lo', '\'hello';
+-------+---------+-----------+--------+--------+
| hello | "hello" | ""hello"" | hel'lo | 'hello |
+-------+---------+-----------+--------+--------+
mysql> SELECT "hello", "'hello'", "''hello''", "hel""lo", "\"hello";
+-------+---------+-----------+--------+--------+
| hello | 'hello' | ''hello'' | hel"lo | "hello |
+-------+---------+-----------+--------+--------+
mysql> SELECT 'This\nIs\nFour\nLines';
+--------------------+
| This
Is
Four
Lines |
+--------------------+
mysql> SELECT 'disappearing\ backslash';
+------------------------+
| disappearing backslash |
+------------------------+
如果你想要在字符串列内插入二进制数据(例如BLOB),必须通过转义序列表示下面的字符:
NUL
NUL字节(ASCII 0)。用‘\0’表示该字符(反斜线后面跟一个ASCII‘0’字符)。
\
反斜线(ASCII 92)。用‘\\’表示该字符。
'
单引号(ASCII 39)。用‘\'’表示该字符。
"
双引号(ASCII 34)。用‘\"’表示该字符。
当编写应用程序时,在包含这些特殊字符的字符串用于发送到MySQL服务器的SQL语句中的数据值之前,必须对它们正确进行转义。可以用两种方法来完成:
用转义特殊字符的函数处理字符串。例如,在C程序中,可以使用mysql_real_escape_string() C API函数来转义字符。参见25.2.3.52节,“mysql_real_escape_string()”。Perl DBI接口提供一个quote方法来将特殊字符转换为正确的转义序列。参见25.4节,“MySQL Perl API”。
显式转义特殊字符,许多MySQL API提供了占位符功能,允许你在查询字符串中插入特殊标记,然后当你发出查询时将数据值同它们绑定起来。在这种情况下,API关注转义值中的特殊字符。
3、具体的应用
(1)单引号
不过回避方法却非常简单,只要将单引号[']转换成两个单引号['']就可以了。
例:SELECT * FROM TBL WHERE COL = 'ABC''DEF';
(2)通配符
模糊查询的语句虽然不会发生SQL错误,但是不进行回避的话,则无法得到要检索的值。
回避方法较单引号复杂。需要使用转义符。将[%]转为[/%]、[_]转为[/_],
然后再加上[ESCAPE '/']就可以了。
例:SELECT * FROM TBL WHERE COL LIKE 'ABC/%/_%' ESCAPE '/';
最后一个%是通配符。
(3)全角字符
如果做日文项目的话,会出现全角字符的[%]、[_],
而这两个全角字符同样会作为半角通配符处理。所以在变换时,同时需要将全角的[%]、[_]进行变换。
例:SELECT * FROM TBL WHERE COL LIKE 'ABC/%/_/%/_%' ESCAPE '/';
(4)转义符
变换成这样似乎结束了,可是不要忘了还有转义符自身,万一用户输入转义符的话,
以上的处理就会发生SQL错误。所以也必须对转义符进行变换。变换方法就是将[/]转换为[//]。
例:SELECT * FROM TBL WHERE COL LIKE 'ABC/%/_/%///_%' ESCAPE '/';
(5)字符类型
以上的操作都针对于一般的数据类型,如CHAR、VARCHAR2。
如果出现NCHAR、NVARCHAR2的话,以上的处理就会出现ORA-01425错误。
如果改成以下写法,则会发生ORA-01424错误。
SELECT * FROM TBL WHERE COL LIKE '%/_%' ESCAPE TO_NCHAR('/')
正确的写法应该是
SELECT * FROM TBL WHERE COL LIKEC '%/_%' ESCAPE TO_NCHAR('/')
(6)模糊查询like
最后要说明的是每个like都应该写ESCAPE语句。
例:
SELECT * FROM TBL
WHERE COL1 LIKE '%/_%' ESCAPE '/' OR COL2 LIKE '%/_%' ESCAPE '/'
SQL> select * from test;
TEST
--------------------
sdd_kk
d'd
dfsfsa
dffa%asfs
12345
1%2345
1%54321
2%54321
%%54321
A&B
已选择9行。
(7)特殊字符
其中包含特殊的字符分别为%,_,&等等,有可能包含这些字符的数据含有错误,或者需要查找包含这些字符的数据。
SQL> select * from test where test like 'sdd _%' escape ' ';
TEST
--------------------
sdd_kk
1)转义字符为' '(空格);
SQL> select * from test where test like 'sdd/_%' escape '/';
TEST
--------------------
sdd_kk
