问题描述
我正在使用 MysqL2 包来运行我的 sql 查询,并且我正在尝试使用 LIKE
语法。我的问题是我需要在变量周围添加 %%
,但我不能这样做,因为当我注入变量时,它注入了 sql 注入证明,因此不起作用。我发现这样做的唯一方法是将变量直接放入查询中(可以注入 sql)。我什至尝试用 %%
包装字符串,但也可以。
WITH sql INJECTION PROTECTION (WONT RETURN ANYTHING):
await database.execute('SELECT * FROM products WHERE title LIKE %?%',[req.body.query]);
WITHOUT sql INJECTION PROTECTION (RETURNS):
await database.execute(`SELECT * FROM products WHERE title LIKE %${req.body.query}%`);
解决方法
实际上,正确的做法是将通配符字符串绑定到一个空的 ?
占位符:
var query = 'SELECT * FROM products WHERE title LIKE ?';
await database.execute(query,['%' + req.body.query + '%']);