Chinaunix首页 | 论坛 | 博客
  • 博客访问: 411038
  • 博文数量: 119
  • 博客积分: 1470
  • 博客等级: 上尉
  • 技术积分: 1258
  • 用 户 组: 普通用户
  • 注册时间: 2006-02-24 13:50
文章分类

全部博文(119)

文章存档

2018年(6)

2017年(11)

2016年(4)

2013年(8)

2012年(1)

2011年(2)

2010年(4)

2009年(37)

2008年(16)

2006年(30)

我的朋友

分类: Oracle

2008-09-04 10:54:52

用户输入如果没有任何限制的话,则必须对特殊字符进行变换。
如果对单引号不进行变换,则会发生数据库错误,甚至可能导致系统崩溃。

不过回避方法却非常简单,只要将单引号
[']转换成两个单引号['']就可以了。
例:SELECT * FROM TBL WHERE COL = 'ABC''DEF';
模糊查询的语句虽然不会发生SQL错误,但是不进行回避的话,则无法得到要检索的值。

回避方法较单引号复杂。需要使用转义符。将
[%]转为[\%][_]转为[\_]

然后再加上
[ESCAPE '\']就可以了。
例:SELECT * FROM TBL WHERE COL LIKE 'ABC\%\_%' ESCAPE '\'; 

  
最后一个%是通配符。
如果做日文项目的话,会出现全角字符的[][_]

而这两个全角字符同样会作为半角通配符处理。

所以在变换时,同时需要将
全角的[][_]进行变换。
例:SELECT * FROM TBL WHERE COL LIKE 'ABC\%\_\\_%' ESCAPE '\';

变换成这样似乎结束了,可是不要忘了还有转义符自身,万一用户输入转义符的话,
以上的处理就会发生
SQL错误。所以也必须对转义符进行变换。变换方法就是将[\]转换为[\\]

例:SELECT * FROM TBL WHERE COL LIKE 'ABC\%\_\\\\_%' ESCAPE '\';
以上的操作都针对于一般的数据类型,如CHARVARCHAR2

如果出现
NCHARNVARCHAR2的话,以上的处理就会出现ORA-01425错误。



如果改成以下写法,则会发生
ORA-01424错误。
SELECT * FROM TBL WHERE COL LIKE '%\_%' ESCAPE TO_NCHAR('\')
正确的写法应该是
SELECT * FROM TBL WHERE COL LIKEC '%\_%' ESCAPE TO_NCHAR('\')


最后要说明的是每个
like都应该写ESCAPE语句。
例:

SELECT * FROM TBL

WHERE COL1 LIKE '%\
_%' ESCAPE '\' OR COL2 LIKE '%\_%' ESCAPE '\'
阅读(1902) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~