sql >> データベース > >> RDS >> Mysql

クエリでREGEXを使用して準備されたSQLステートメントのセキュリティ

プレースホルダーは引用できません。そのように簡単です：

SELECT ... WHERE foo = ?
SELECT ... WHERE foo = '?'

最初のものはプレースホルダーであり、期待どおりに機能します。もう1つは、文字「疑問符」に対する同等性のテストです。もうプレースホルダーではありません。

そして、？の問題があります正規表現のメタ文字でもあります。プレースホルダーを引用できる場合は、与えられます

SELECT ... WHERE foo REGEXP '^.?'

その？クエリのプレースホルダーになりますか、それとも正規表現の「ゼロまたは1」の範囲演算子ですか？

 
 正規表現でプレースホルダーを使用する場合は、正規表現パターンを「構築」する必要があります
 SELECT ... WHERE foo REGEXP concat('^.', ?)
 
  LIKEを作成する必要があるのとまったく同じ方法 パターン：
 SELECT ... WHERE foo LIKE '%?%' // wrong
SELECT ... WHERE foo LIKE concat('%', ?, '%') // right



            




            
                
                    
                
                未定義の値を保持するSQLSelectステートメントの動的列          
                htmlとphpを使用して特定の方法でデータをフォーマットする方法    
            


    

            
                

                    
                        
                        
                            MYSQL、一意のテーブル名を使用するVSIDを使用する 
                        
                    
  
                        
                        
                            トリガーを使用してSQLをインクリメントするにはどうすればよいですか？ 
                        
                    
  
                        
                        
                            mysqliに切り替えるか、mysqlを使用し続けますか？ 
                        
                    
  
                        
                        
                            Oracle-DBMS_MVIEW.REFRESHを使用して「REFRESHFORCEONDEMAND」ビューを更新するとどうなりますか










    
        
            
                
            

            
                ©著作権
                http://ja.sqldat.com
                全著作権所有