如何使用`sqliteCreateFunction`定制的LIKE语句来转义参数化查询中的通配符?

时间:2013-08-28 23:28:29

标签: php sql sqlite pdo escaping

我将PDO与SQLite一起使用,并希望为unicode字符串实现不区分大小写的匹配。

我找到了this

function lexa_ci_utf8_like($mask, $value) {
    $mask = str_replace(
        array("%", "_"),
        array(".*?", "."),
        preg_quote($mask, "/")
    );
    $mask = "/^$mask$/ui";
    return preg_match($mask, $value);
}

$pdo->sqliteCreateFunction('like', "lexa_ci_utf8_like", 2);

我需要将它与不受信任的文本一起使用,因此我使用参数化查询。

问题是不受信任的文本可能包含%_等通配符,我不希望它们表现为通配符

2 个答案:

答案 0 :(得分:1)

我认为

function lexa_ci_utf8_like($mask, $value) {
    return preg_match('/^' . preg_quote($mask, '/') . '$/ui', $value);
}
$pdo->sqliteCreateFunction('like', "lexa_ci_utf8_like", 2);

将起作用,因为SQL通配符%_不是正则表达式通配符,preg_quote从不受信任的文本中转义正则表达式字符。

<强>测试用例 

SELECT 'à' like 'À'     // 1   Just testing if utf8 works
SELECT 'aa' like '%a';  // 0   `%` not used as wildcard!
SELECT 'aa' like '_a';  // 0   `_` not used as wildcard!

答案 1 :(得分:0)

如果您希望百分号符号成为字符串参数的一部分,请用方括号括起来。在将参数发送到数据库之前,请使用应用程序代码执行此操作。

相关问题
最新问题