Як уникнути спеціальних символів у MySQL?

Наприклад:

select * from tablename where fields like "%string "hi"  %";

Помилка:

У вас є помилка у вашому синтаксисі SQL; перевірте посібник, який відповідає версії вашого сервера MySQL, на правильний синтаксис, який слід використовувати поблизу 'hi ""' у рядку 1

Як побудувати цей запит?

Інформація, наведена у цій відповіді, може призвести до небезпечної практики програмування.

Надана тут інформація сильно залежить від конфігурації MySQL, включаючи (але не обмежуючись) версію програми, клієнт бази даних та кодування символів.

Див. Http://dev.mysql.com/doc/refman/5.0/en/string-literals.html

MySQL розпізнає наступні екранні послідовності.
\ 0 Символ ASCII NUL (0x00).
\ 'Одинарні лапки (“'”).
\ "Символ подвійних лапок (" "").
\ b Символ зворотного простору.
\ n Символ нового рядка (подача рядка).
\ r Символ повернення каретки.
\ t Символ табуляції.
\ Z ASCII 26 (Control-Z). Див. Примітку за таблицею.
\\ Символ зворотної косої риски ("\").
\% Символ "%". Див. Примітку за таблицею.
\ _ Символ "_". Див. Примітку за таблицею.

Тож вам потрібно

select * from tablename where fields like "%string \"hi\" %";

Хоча, як зазначає нижче Білл Карвін , використання подвійних лапок для роздільників рядків не є стандартним SQL, тому корисною практикою є використання одинарних лапок. Це спрощує речі:

select * from tablename where fields like '%string "hi" %';

Я розробив власний метод втечі MySQL на Java (якщо корисний для когось).

Дивіться код класу нижче.

Попередження: неправильно, якщо ввімкнено режим SQL_BACKSLASH_ESCAPES.

private static final HashMap<String,String> sqlTokens;
private static Pattern sqlTokenPattern;

static
{           
    //MySQL escape sequences: http://dev.mysql.com/doc/refman/5.1/en/string-syntax.html
    String[][] search_regex_replacement = new String[][]
    {
                //search string     search regex        sql replacement regex
            {   "\u0000"    ,       "\\x00"     ,       "\\\\0"     },
            {   "'"         ,       "'"         ,       "\\\\'"     },
            {   "\""        ,       "\""        ,       "\\\\\""    },
            {   "\b"        ,       "\\x08"     ,       "\\\\b"     },
            {   "\n"        ,       "\\n"       ,       "\\\\n"     },
            {   "\r"        ,       "\\r"       ,       "\\\\r"     },
            {   "\t"        ,       "\\t"       ,       "\\\\t"     },
            {   "\u001A"    ,       "\\x1A"     ,       "\\\\Z"     },
            {   "\\"        ,       "\\\\"      ,       "\\\\\\\\"  }
    };

    sqlTokens = new HashMap<String,String>();
    String patternStr = "";
    for (String[] srr : search_regex_replacement)
    {
        sqlTokens.put(srr[0], srr[2]);
        patternStr += (patternStr.isEmpty() ? "" : "|") + srr[1];            
    }
    sqlTokenPattern = Pattern.compile('(' + patternStr + ')');
}


public static String escape(String s)
{
    Matcher matcher = sqlTokenPattern.matcher(s);
    StringBuffer sb = new StringBuffer();
    while(matcher.find())
    {
        matcher.appendReplacement(sb, sqlTokens.get(matcher.group(1)));
    }
    matcher.appendTail(sb);
    return sb.toString();
}

Для роздільників рядків слід використовувати одинарні лапки. Одинарні лапки - це стандартний роздільник рядків SQL, а подвійні лапки - це роздільники ідентифікаторів (тому ви можете використовувати спеціальні слова або символи в іменах таблиць або стовпців).

У MySQL подвійні лапки працюють (нестандартно) як роздільник рядків за замовчуванням (якщо ви не встановили ANSIрежим SQL). Якщо ви коли-небудь будете використовувати іншу марку баз даних SQL, ви отримаєте перевагу від звички використовувати стандартні лапки.

Ще однією корисною перевагою використання одинарних лапок є те, що буквальні символи подвійних лапок у вашому рядку не потрібно уникати:

select * from tablename where fields like '%string "hi" %';

MySQL має рядкову функцію QUOTE , і вона повинна вирішити цю проблему:

Ви можете використовувати mysql_real_escape_string . mysql_real_escape_string()не виходить %і _тому вам слід уникати символів MySQL ( %та _) окремо.

Для таких рядків для мене найзручнішим способом зробити це подвоєння знака 'або ", як пояснюється в посібнику MySQL:

Є кілька способів включити символи лапок у рядок:

A “'” inside a string quoted with “'” may be written as “''”.

A “"” inside a string quoted with “"” may be written as “""”.

Precede the quote character by an escape character (“\”).

A “'” inside a string quoted with “"” needs no special treatment and need not be doubled or escaped. In the same way, “"” inside a

Струни, позначені символом "'", не потребують особливого ставлення.

Це з http://dev.mysql.com/doc/refman/5.0/en/string-literals.html .

Для перевірки того, як вставити подвійні лапки в MySQL за допомогою терміналу, ви можете скористатися таким способом:

TableName (Name, DString) ->
Вставка схеми у значення TableName ("Name", "My QQDoubleQuotedStringQQ")

Після вставки значення ви можете оновити значення в базі даних подвійними або одинарними лапками:

update table TableName replace(Dstring, "QQ", "\"")

Якщо ви використовуєте змінну під час пошуку в рядку, mysql_real_escape_string()це добре для вас. Лише моя пропозиція:

$char = "and way's 'hihi'";
$myvar = mysql_real_escape_string($char);

select * from tablename where fields like "%string $myvar  %";