这个blog也有这个问题！有时间修改一下。- guoshuang

——————————————————————————–

真是寒啊～

如果不是 Babyken 的提醒，这个错误我想我还会一直犯下去。

事情起因，帮 Babyken 做了一个 0day 查询的脚本，脚本很简单，就是简单的取用户输入的值做 LIKE 操作查询数据库。做好后经测试一直运行很好。可是今天 Babyken 告诉我说有个BUG，输入 “___” 或 “.__” 等类似的关键字时，会把数据库中的所有记录都取出来。

偶又试了以前写过的几个应用，寒，都有这个问题。。。

看起来是SQL本身对LIKE的处理问题。问了几个朋友也都没有注意过。后来在Mysql手册上找到答案：

Pattern matching using SQL simple regular expression comparison. Returns 1 (TRUE) or 0 (FALSE). With LIKE you can use the following two wildcard characters in the pattern:

Char Description

% Matches any number of characters, even zero characters

_ Matches exactly one character

当时感觉就是汗啊～～ 以前怎么自己就没有注意过呢?

解决办法是把用户的输入中的 _ 和 % 转义。

不知道是只是Mysql有这个问题，还是其它数据也有。希望熟悉其它数据库应用的朋友试一下。

相关Mysql说明页面：http://www.mysql.com/doc/en/String_comparison_functions.html

2004年1月16日22时25分补记：

与xdanger探讨后发现，目前网上大部分的PHP＋Mysql程序都存在此BUG，IPB和PHPBB也不例外，VBB中被过滤掉了。看起来这应该是一个值得引起重视的问题了。

22:09:22 - avenger -

Comments

呵呵,俺也发现了,不过以前写的都没有处理-_#

Post by freeman @ 02/12/04 08:00:50

1、在把关键字中的_用\_应该就可以了，很多的数据库支持使用别的符号代替来转意，你可以查以下具体数据库的SQL语言参考。

2、多数情况下，即使没有采用这样的措施也不会带来太大的危险，因为允许用户输入关键字进行模糊查询的地方大多数都允许检索所有的记录。很多查询的设计是这样的，当用户不输入关键字的时候默认就是返回所有记录，这和用_进行的检索得到的结果一样。如果用户希望特别查询包含_的记录，就需要进行转意了。查询是只读的操作应该不会对数据产生破坏作用。

不要太担心。