首页 > MySQL教程 > 正文

mysql 的Escape转义字符串

一、转义的意义


用户输入如果没有任何限制的话,则必须对特殊字符进行变换。 

如果对单引号不进行变换,轻者不能正常执行功能,重则会发生数据库错误,甚至可能导致系统崩溃。


二、需要转义的字符类型


在字符串中,某些序列具有特殊含义。这些序列均用反斜线(‘\’)开始,即所谓的转义字符。MySQL识别下面的转义序列:

\0

ASCII 0(NUL)字符。

\'

单引号(‘'’)。

\"

双引号(‘"’)。

\b

退格符。

\n

换行符。

\r

回车符。

\t

tab字符。

\Z

ASCII 26(控制(Ctrl)-Z)。该字符可以编码为‘\Z’,以允许你解决在Windows中ASCII 26代表文件结尾这一问题。(如果你试图使用mysql db_name < file_name,ASCII 26会带来问题)。

\\

反斜线(‘\’)字符。

\%

‘%’字符。参见表后面的注解。

\_

‘_’字符。参见表后面的注解。

这些序列对大小写敏感。例如,‘\b’解释为退格,但‘\B’解释为‘B’。

‘\%’和‘\_’序列用于搜索可能会解释为通配符的模式匹配环境中的‘%’和‘_’文字实例。请注意如果你在其它环境中使用‘\%’或‘\_’,它们返回字符串‘\%’和‘\_’,而不是‘%’和‘_’。

在其它转义序列中,反斜线被忽略。也就是说,转义字符解释为仿佛没有转义。

有几种方式可以在字符串中包括引号:

在字符串内用‘'’引用的‘'’可以写成‘''’。

在字符串内用‘"’引用的‘"’可以写成‘""’。

可以在引号前加转义字符(‘\’)。

在字符串内用‘"’引用的‘'’不需要特殊处理,不需要用双字符或转义。同样,在字符串内用‘'’引用的‘"’也不需要特殊处理。

下面的SELECT语句显示了引用和转义如何工作:

mysql> SELECT 'hello', '"hello"', '""hello""', 'hel''lo', '\'hello';

+-------+---------+-----------+--------+--------+

| hello | "hello" | ""hello"" | hel'lo | 'hello |

+-------+---------+-----------+--------+--------+

mysql> SELECT "hello", "'hello'", "''hello''", "hel""lo", "\"hello";

+-------+---------+-----------+--------+--------+

| hello | 'hello' | ''hello'' | hel"lo | "hello |

+-------+---------+-----------+--------+--------+

mysql> SELECT 'This\nIs\nFour\nLines';

+--------------------+

| This

Is

Four

Lines |

+--------------------+

mysql> SELECT 'disappearing\ backslash';

+------------------------+

| disappearing backslash |

+------------------------+

如果你想要在字符串列内插入二进制数据(例如BLOB),必须通过转义序列表示下面的字符:

NUL

NUL字节(ASCII 0)。用‘\0’表示该字符(反斜线后面跟一个ASCII‘0’字符)。

\

反斜线(ASCII 92)。用‘\\’表示该字符。

'

单引号(ASCII 39)。用‘\'’表示该字符。

"

双引号(ASCII 34)。用‘\"’表示该字符。

当编写应用程序时,在包含这些特殊字符的字符串用于发送到MySQL服务器的SQL语句中的数据值之前,必须对它们正确进行转义。可以用两种方法来完成:

用转义特殊字符的函数处理字符串。例如,在C程序中,可以使用mysql_real_escape_string() C API函数来转义字符。参见25.2.3.52节,“mysql_real_escape_string()”。Perl DBI接口提供一个quote方法来将特殊字符转换为正确的转义序列。参见25.4节,“MySQL Perl API”。

显式转义特殊字符,许多MySQL API提供了占位符功能,允许你在查询字符串中插入特殊标记,然后当你发出查询时将数据值同它们绑定起来。在这种情况下,API关注转义值中的特殊字符。

3、具体的应用


(1)单引号 

不过回避方法却非常简单,只要将单引号[']转换成两个单引号['']就可以了。 

例:SELECT * FROM TBL WHERE COL = 'ABC''DEF'; 

(2)通配符

模糊查询的语句虽然不会发生SQL错误,但是不进行回避的话,则无法得到要检索的值。


回避方法较单引号复杂。需要使用转义符。将[%]转为[/%]、[_]转为[/_],

然后再加上[ESCAPE '/']就可以了。 

例:SELECT * FROM TBL WHERE COL LIKE 'ABC/%/_%' ESCAPE '/'; 

 最后一个%是通配符。 

(3)全角字符

如果做日文项目的话,会出现全角字符的[%]、[_],

而这两个全角字符同样会作为半角通配符处理。所以在变换时,同时需要将全角的[%]、[_]进行变换。 

例:SELECT * FROM TBL WHERE COL LIKE 'ABC/%/_/%/_%' ESCAPE '/'; 

(4)转义符

变换成这样似乎结束了,可是不要忘了还有转义符自身,万一用户输入转义符的话,


以上的处理就会发生SQL错误。所以也必须对转义符进行变换。变换方法就是将[/]转换为[//]。

例:SELECT * FROM TBL WHERE COL LIKE 'ABC/%/_/%///_%' ESCAPE '/'; 

(5)字符类型

以上的操作都针对于一般的数据类型,如CHAR、VARCHAR2。


如果出现NCHAR、NVARCHAR2的话,以上的处理就会出现ORA-01425错误。

如果改成以下写法,则会发生ORA-01424错误。 

SELECT * FROM TBL WHERE COL LIKE '%/_%' ESCAPE TO_NCHAR('/') 

正确的写法应该是 

SELECT * FROM TBL WHERE COL LIKEC '%/_%' ESCAPE TO_NCHAR('/') 

(6)模糊查询like

最后要说明的是每个like都应该写ESCAPE语句。 

例:

SELECT * FROM TBL 

WHERE COL1 LIKE '%/_%' ESCAPE '/' OR COL2 LIKE '%/_%' ESCAPE '/' 

SQL> select * from test;

TEST

--------------------

sdd_kk

d'd

dfsfsa

dffa%asfs

12345

1%2345

1%54321

2%54321

%%54321

A&B

已选择9行。

(7)特殊字符

其中包含特殊的字符分别为%,_,&等等,有可能包含这些字符的数据含有错误,或者需要查找包含这些字符的数据。


SQL> select * from test where test like 'sdd _%' escape ' ';

TEST

--------------------

sdd_kk

1)转义字符为' '(空格);

SQL> select * from test where test like 'sdd/_%' escape '/';

TEST

--------------------

sdd_kk


PythonTab微信公众号:

Python技术交流互助群 ( 请勿加多个群 ):

群1: 87464755

群2: 333646237

群3: 318130924

群4: 385100854

相关词搜索:转义 字符串

上一篇:升级MySQL5.7,开发不得不注意的坑
下一篇:MySQL like查询字符转义遇到的坑