真是寒啊~
如果不是 Babyken 的提醒,这个错误我想我还会一直犯下去。
事情起因,帮 Babyken 做了一个 0day 查询的脚本,脚本很简单,就是简单的取用户输入的值做 LIKE 操作查询数据库。做好后经测试一直运行很好。可是今天 Babyken 告诉我说有个BUG,输入 "___" 或 ".__" 等类似的关键字时,会把数据库中的所有记录都取出来。
偶又试了以前写过的几个应用,寒,都有这个问题。。。
看起来是SQL本身对LIKE的处理问题。问了几个朋友也都没有注意过。后来在Mysql手册上找到答案:
Pattern matching using SQL simple regular expression comparison. Returns 1 (TRUE) or 0 (FALSE). With LIKE you can use the following two wildcard characters in the pattern:
Char Description
% Matches any number of characters, even zero characters
_ Matches exactly one character
当时感觉就是汗啊~~ 以前怎么自己就没有注意过呢?
解决办法是把用户的输入中的 _ 和 % 转义。
不知道是只是Mysql有这个问题,还是其它数据也有。希望熟悉其它数据库应用的朋友试一下。
相关Mysql说明页面:http://www.mysql.com/doc/en/String_..._functions.html
补记:
与xdanger探讨后发现,目前网上大部分的PHP+Mysql程序都存在此BUG,IPB和PHPBB也不例外,VBB中被过滤掉了。看起来这应该是一个值得引起重视的问题了。
全站资源
- 微软官方入门教程19:轻松掌握Vista系统的快
- 微软2008大冲击,预借Vista SP1力促Vista市
- 在收件箱中获得 Windows Vista 的最新更新
- 微软官方Vista入门教程全集19篇(Vista学院
- Windows Vista 的成功将势不可挡
- 快快抛弃Vista,拥抱XP SP3!你觉得呢?
- 浅谈Vista系统关闭虚拟内存与使用内存盘加速
- 嘿嘿,按下键盘上面的三个键,马上让你的Vi
- Windows Vista的盗版率只有Windows XP的一半
- 3DMark和PCMark Vantage新版将只支持Vista系
阅读排行
- 完整图解 Tomcat 5.0.28 安装笔记
- Tomcat+SQL Server2000连接池配置
- MySQL 5.015官网下载地址
- MySQL Client下载列表
- MySQL数据库如何实现双机热备的配置
- JDBC连接SQL2000详细流程
- MySQL for Linux (x86, glibc-2.2, static,
- MySQL数据库的多表操作和备份处理
- 一个简便的MySql数据库备份的方法
- MySQL数据查询器下载列表
最新技术文档
- 一个简便的MySql数据库备份的方法
- MySQL数据库的多表操作和备份处理
- MySQL下数据备份的系统解决方案简介
- MySQL数据库如何实现双机热备的配置
- Mysql安全:有关“_” 的搜索问题
- 解决MySQL启动时万恶的1067错误
- 为什么我的 MySQL不支持中文查询?
- 用MySQL内建复制功能来优化可用性
- 从SQL Server导出到MYSQL的简单方法
- 如何把ACCESS的数据导入到MySQL中
专题教程
- 大话G游 专题:手机病毒揭密
- ARP攻击防范与解决方案 路由故障处理手册
- Picasa中文版_Picasa教程 专题:清除流氓软件
- Firefox专题 seo搜索引擎优化专区
- 重装Windows必知的事情 装机之必备软件大行动
病毒专杀栏