Comment puis-je échapper les caractères spéciaux dans MySQL?

Par exemple:

select * from tablename where fields like "%string "hi"  %";

Erreur:

Vous avez une erreur dans votre syntaxe SQL; consultez le manuel qui correspond à votre versions du serveur MySQL pour la bonne syntaxe à utiliser près de "salut" "' à la ligne 1

Comment puis-je construire cette requête?

Cela peut être dupe martelé en Comment puis-je prévenir l'injection SQL en PHP?... (je ne dis pas qu'il doit ou est bon de le faire - tout ce qui peut arriver.)

InformationsquelleAutor | 2009-05-19

mysql

L'information fournie dans cette réponse peut conduire à l'insécurité des pratiques de programmation.

Les informations fournies ici dépend fortement de la configuration de MySQL, y compris (mais non limité à) la version du programme et le client de base de données et le codage de caractères utilisé.

Voir http://dev.mysql.com/doc/refman/5.0/en/string-literals.html

MySQL reconnaît la suite des séquences d'échappement. 
MySQL reconnaît la suite des séquences d'échappement. 
\0 ASCII NUL (0x00) caractère. 
\' Un guillemet simple (“'”) des caractères. 
\" Un guillemet double (“"”) de caractère. 
\b Un caractère de retour arrière. 
\n saut de ligne (saut de ligne) caractère. 
\r Un caractère de retour chariot. 
\t Un caractère de tabulation. 
\Z 26 ASCII (ctrl-Z). Voir la note à la suite de la table. 
\\ Une barre oblique inverse (“\”) des caractères. 
\% Un signe“%”. Voir la note à la suite de la table. 
\_ Un caractère“_”. Voir la note à la suite de la table. 
 ASCII NUL (0x00) caractère. 
\' Un guillemet simple (“'”) des caractères. 
\" Un guillemet double (“"”) de caractère. 
\b Un caractère de retour arrière. 
\n saut de ligne (saut de ligne) caractère. 
\r Un caractère de retour chariot. 
\t Un caractère de tabulation. 
\Z 26 ASCII (ctrl-Z). Voir la note à la suite de la table. 
\\ Une barre oblique inverse (“\”) des caractères. 
\% Un signe“%”. Voir la note à la suite de la table. 
\_ Un caractère“_”. Voir la note à la suite de la table.

Si vous avez besoin

select * from tablename where fields like "%string \"hi\" %";

Bien que, comme Le projet de loi Karwin les notes ci-dessous, en utilisant des guillemets doubles pour les délimiteurs de chaînes n'est pas standard SQL, c'est une bonne pratique d'utiliser les guillemets simples. Cela simplifie les choses:

select * from tablename where fields like '%string "hi" %';

InformationsquelleAutor Paul Dixon

J'ai développé mon propre MySQL échapper à la méthode en Java (si utile pour tous).

Voir le code de la classe ci-dessous.

Avertissement: faux si NO_BACKSLASH_ESCAPES SQL-mode est activé.

private static final HashMap<String,String> sqlTokens;
private static Pattern sqlTokenPattern;
static
{           
//MySQL escape sequences: http://dev.mysql.com/doc/refman/5.1/en/string-syntax.html
String[][] search_regex_replacement = new String[][]
{
//search string     search regex        sql replacement regex
{   "\u0000"    ,       "\\x00"     ,       "\\\\0"     },
{   "'"         ,       "'"         ,       "\\\\'"     },
{   "\""        ,       "\""        ,       "\\\\\""    },
{   "\b"        ,       "\\x08"     ,       "\\\\b"     },
{   "\n"        ,       "\\n"       ,       "\\\\n"     },
{   "\r"        ,       "\\r"       ,       "\\\\r"     },
{   "\t"        ,       "\\t"       ,       "\\\\t"     },
{   "\u001A"    ,       "\\x1A"     ,       "\\\\Z"     },
{   "\\"        ,       "\\\\"      ,       "\\\\\\\\"  }
};
sqlTokens = new HashMap<String,String>();
String patternStr = "";
for (String[] srr : search_regex_replacement)
{
sqlTokens.put(srr[0], srr[2]);
patternStr += (patternStr.isEmpty() ? "" : "|") + srr[1];            
}
sqlTokenPattern = Pattern.compile('(' + patternStr + ')');
}
public static String escape(String s)
{
Matcher matcher = sqlTokenPattern.matcher(s);
StringBuffer sb = new StringBuffer();
while(matcher.find())
{
matcher.appendReplacement(sb, sqlTokens.get(matcher.group(1)));
}
matcher.appendTail(sb);
return sb.toString();
}

Utilisé votre recherche de remplacer la table dans une base de données mysql procédure où j'ai besoin d'échapper à un délimiteur d'onglet à être correctement inséré dans la base de données comme '\t'. thx
Très utile pour moi! Ce qui concerne les!
Avez-vous des version C#?

InformationsquelleAutor Walid

27

Vous devez utiliser des guillemets simples pour les délimiteurs de chaînes. La seule citation est la norme SQL délimiteur de chaîne, et les guillemets sont de l'identificateur de délimiteurs (vous pouvez utiliser des mots ou de caractères dans les noms de tables ou de colonnes).

Dans MySQL, double-guillemets travail (nonstandardly) comme un délimiteur de chaîne par défaut (sauf si vous définissez ANSI mode SQL). Si jamais vous utilisez une autre marque de base de données SQL, vous bénéficierez d'entrer dans l'habitude de l'utilisation des citations en standard.

Une autre pratique de bénéficier de l'aide de simples guillemets, c'est que le sens littéral, les guillemets doubles au sein de votre chaîne n'a pas besoin d'être échappé:
```
select * from tablename where fields like '%string "hi" %';
```
- Je suis d'accord avec le guillemet simple idée, car si vous passez à, disons, PostgresSQL il refuse obstinément de vos requêtes et vous devez utiliser des guillemets simples. C'est une bonne pratique.
InformationsquelleAutor Bill Karwin
11

MySQL a la fonction de chaîne CITATION, et il faut résoudre ce problème:
- Sauf qu'il ne cite pas LIKE's % caractère, il est assez inutile
InformationsquelleAutor Hadi Sadeqi
9

Vous pouvez utiliser mysql_real_escape_string. mysql_real_escape_string() n'échappe pas à % et _, de sorte que vous devrait échapper à MySQL caractères génériques (% et _) séparément.
- Function mysql_real_escape_string() a été dépréciée en PHP 5.5.0 et a été supprimée en PHP 7.0.0.
InformationsquelleAutor nickf
7

Pour les chaînes comme ça, pour moi la façon la plus confortable de le faire est de doubler le " ou ", comme expliqué dans le manuel MySQL:
Il y a plusieurs façons d'inclure les guillemets dans une chaîne de caractères:
```
A “'” inside a string quoted with “'” may be written as “''”.
A “"” inside a string quoted with “"” may be written as “""”.
Precede the quote character by an escape character (“\”).
A “'” inside a string quoted with “"” needs no special treatment and need not be doubled or escaped. In the same way, “"” inside a
```
Chaînes de cité “'” besoin d'aucun traitement spécial.
C'est à partir de http://dev.mysql.com/doc/refman/5.0/en/string-literals.html.

InformationsquelleAutor Raúl Moreno
0

Si vous utilisez une variable lors de la recherche dans une chaîne de caractères, mysql_real_escape_string() est bon pour vous. Juste ma suggestion:
```
$char = "and way's 'hihi'";
$myvar = mysql_real_escape_string($char);
select * from tablename where fields like "%string $myvar  %";
```
- Cette fonction est dépréciée en PHP 5.5 et retiré de 7.0
- Source.
InformationsquelleAutor YeHtunZ
0

Pour tester comment insérer des guillemets dans MySQL en utilisant le terminal, vous pouvez utiliser de la manière suivante:

TableName(Nom,DString) - > Schema

insert into Nom_table valeurs("Nom","Mon QQDoubleQuotedStringQQ")

Après l'insertion de la valeur que vous pouvez mettre à jour la valeur dans la base de données avec des guillemets ou des apostrophes:
```
update table TableName replace(Dstring, "QQ", "\"")
```
InformationsquelleAutor Vishnu Prasanth G

Vous devez vous connecter pour publier un commentaire.