1
转义传递给LIKE模式匹配查询的文本的正确方法是什么? 问题是Zend_Db中LIKE的转义输入
select()->where('field LIKE ?', $input . '%');
将是不正确与
$input = '%sometext';
更新: '容易' - > '不正确使用'
A
回答
0
这不是漏洞,是吗?这是有效的内容。如果它对你的应用程序的漏洞(如WHERE user LIKE '%admin%'),你应该考虑验证/使用某物像过滤输入自己:
if (strpos('%', $input)){
$input = strtr($input, '%', '');
}
相关问题
- 1. 使用LIKE与ZEND_DB
- 2. 如何在SQL LIKE的用户输入中转义特殊字符?
- 3. Handlerbars转义输入?
- 4. Zend_Framework中的转义输入数据
- 5. Android:Stack Overflow Like Tag输入
- 6. 避免MySQL注入Zend_Db类
- 7. 输入元素内的未转义值
- 8. XFBML Facebook Like按钮 - 自定义添加评论文本输入
- 9. Eclipselink意外转义LIKE查询
- 10. 如何在HQL中的“like”子句中转义通配符?
- 11. Symfony2 - Doctrine自动转义输入字段
- 12. Logstash JSON输入与转义双引号
- 13. Zend_Db的WHERE NOT
- 14. Zend_Db的独立
- 15. 在IzPack Installer中转义用户输入中的特殊字符
- 16. 在Symfony中输出转义
- 17. KnockoutJS在输入中显示转义字符,但不保存输入
- 18. 在SQLite3中,如何在LIKE子句中执行SQL转义?
- 19. 防止键盘输入中的ANSI转义字符C
- 20. 在c#中输入的正则表达式like(integer-anything)
- 21. 如何做输入进入Restlet Web服务的XSS转义
- 22. 获取转义的HTML,放入输入作为值
- 23. 如何将缓存注入Zend_Db
- 24. Zend_DB将结果加入数组?
- 25. Zend_Db的枚举值
- 26. 问题与Zend_Db的
- 27. 删除xslt中的输出转义
- 28. Zend_Db子查询
- 29. 使用htmlpurifier进行输入或输出转义/过滤
- 30. 消毒/转义用户输入和输出
好吧,也许“脆弱”是不正确的话,我认为更好的方式是“不正确” (有问题更新)。 问题是,如果用户想要查找文本“100%确定”,他会收到'100英里以外肯定'的结果(只是一个例子)。这不是用户期望看到的。 甚至更多,在SQL的不同方言中有更多的字符是特殊的。所以我认为很明显,替换特殊符号并不是很好,如果我将这些代码硬编码为MySQL,ORM的全部内容将会丢失。 – eater 2011-06-04 21:37:29
好的。那么DBLayer应该如何决定是否要搜索'100%'以及'100(。*)'的位置? – 2011-06-05 21:22:44
我认为数据库层必须有方法来转义传递给LIKE查询的输入。在MySQL中它可以是简单的 \t addcslashes($ str,'_%'); 但是在不同的数据库中的特殊字符集可以是不同的,并且对于每个数据库都有这种类型的函数(我认为在适配器中)会很好。 F.e.在MSSQL中LIKE查询可以包含[a = z]以匹配字符列表,如果没有正确的转义,就不可能在其中搜索带有'[10]'的字符串。 – eater 2011-06-05 22:22:39