如何使用like与mysql连接器和python一起编写查询。我试图避免sql注入,使用ORM不是一种选择。
param = 'bob'
select_query = mysql_conn.query_db("select * from table_one where col_name like '%?%' order by id asc limit 5", param)
无论在执行查询时发送什么,我都会得到相同的结果。我应该什么都得不到。
当我使用下面的查询时,会得到一个错误。
select_quer
我正在建设网站,并计划实施OpenID。我可以从谷歌得到一个OpenID网址,但是在我查询的where子句中,Doctrine似乎用URL做了一些有趣的事情。我怎么才能解决呢?
这是函数
/* This function queries docrtrine for a user OpenID URL
* and returns the user object.
*/
function getUserByUserOpenIDURL ($userOpenIDURL) {
$q = Doctrine_Query::create()
->select('*')
我有一个SQL数据库,我想做一个查询,显示所有包含符号"%“的数据。通常,要在数据库中查找字符(例如:"z"),我会使用如下查询:
mysql_query("SELECT * FROM mytable WHERE tag LIKE '%z%'");
但在这里,我想找到%字符,但在SQL中它是一个笑话,所以当我写道:
mysql_query("SELECT * FROM mytable WHERE tag LIKE '%%%'");
它会显示我所有数据。那么如何在我的SQL数据中找到%字符呢?
谢谢
我有一个疑问,但似乎无法使这个工作。
下面是我专门在mysql表字符串中寻找的内容
index.php?option=com_content&view=article&layout=custom:article&id=13 =链接
我需要执行一个与view=article相匹配的MYSQL查询,这样我就可以排除具有这种查询的行。
SELECT * FROM menus WHERE published=1 AND link LIKE '\view=\article\%'
你是如此的提前
更多更新的代码:
<field
class="menu
我正在构建一个带有几个搜索参数的HTML表单。在提交时,我使用发送的值来构建查询。代码如下所示:
....
$keyword1 = mysqli_real_escape_string($_POST['keyword1']);
$keyword2 = mysqli_real_escape_string($_POST['keyword2']);
$sql = "SELECT * FROM myTable
WHERE field1 LIKE '%$keyword1%'
OR field2 LIKE '
我试图将用户添加到某个角色,得到的结果是‘用户已经在角色中了。’,用户实际上不在任何角色中,我跟踪了在Roles.IsUserInRole(user_name)后面运行的查询,它是这样的:
SELECT COUNT(*) FROM my_aspnet_usersinroles uir
JOIN my_aspnet_users u ON uir.userId=u.id
JOIN my_aspnet_roles r ON uir.roleId=r.id
WHERE u.applicationId=1 AND
u.name LIKE 'user_name' AND r.name
$test = sprintf("SELECT * FROM `table` WHERE `text` LIKE '%%s%'", mysql_real_escape_string('test'));
echo $test;
输出:
SELECT * FROM `table` WHERE `text` LIKE '%s
但是它应该输出:
SELECT * FROM `table` WHERE `text` LIKE '%test%'
我尝试使用数组传递未知数量的参数(从1到10),以便为在PHP中执行SQL语句做准备。
function executeStatement ($myArray) {
//for example, $myArray = ("one", "two", "three")
$qry = "SELECT * FROM table WHERE FieldA LIKE ".$myArray[0]." OR FieldA LIKE ".$myArray[1]." OR FieldA LIKE "
首先,我知道我现在应该使用存储过程,并且正在着手处理它,但我需要对我的一个内部专用应用程序进行快速修复。
有一个表单,我们可以输入一些文本,它被附加到一个HTML电子邮件中,格式化所有的很好,然后发送到joe,然后被记录在mysql DB中。
问题是,每当用户使用撇号(')时,对db位的记录就会失败。
我试图通过一个转义函数来绕过它,它只是简单地替换了‘/’,但是我的mysql错误仍然存在。
我的逃逸功能也是如此。
Public Function escapechars(ByVal input As String) As String
input = input.Replac
好吧,基本上我有点困惑。这个问题涉及JDBC驱动程序。基本上,我们拥有一个托管在这个驱动程序上的服务器,并且它正在运行MYSQL。我们正在使用coldfusion作为我们选择的语言。我们有一个GET参数?lang=,并将字符'\‘注入其中,提示错误:You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near和任何其他字符都不会导致此错误。我有点担心。有人能告诉我攻击者如何接近这个参
MySqlCommand command = new MySqlCommand("
select *
from singlecustomer
where name like concat ('%',@search,'%')
or code like concat ('%',@search,'%')
or id like concat ('%',@search,'%')", con);
command.Parameter
我想在我的标签列表中找到一个单词。它们可以在开头、结尾或中间,所以我试着写。
Where name like "%@0%"
那不管用,所以我试了试
@"LIKE ""%" + MySql.Data.MySqlClient.MySqlHelper.EscapeString(q) +@"%"
我认为这是可行的,所以我尝试搜索%。结果显示了我所有的标签,我只期望标签中有%(所以那将不是自动取款机)。
如何正确转义字符串?并使用它来搜索文本的中间部分?
-编辑-
解决方案如下所示。我对它运行了几个测试,它通过了所有测试。查询为
... w
我有一个应用程序,允许用户使用LIKE操作符输入他们的SQL,外加至少一个用于动态参数的占位符,例如:
SELECT * FROM Usergroups WHERE Username LIKE ?;
在后端,它构建PreparedStatements并根据登录信息中的当前用户名设置该参数,如果有人可以注册通配符名(如% ),那么它可以查看所有的用户组。
是否有任何标准方法来防止这种SQL通配符注入?我应该如何清理输入的SQL或参数?
谢谢!
我正在尝试插入,更新网格上的数据在VB.net窗口应用程序,这必须更新数据库中的数据。我无法使用新的模式名(Customer)来实现此功能,但当我尝试使用模式"dbo“创建表时,我能够插入、更新网格上的数据,并能够查看SQL Server中的数据。 请帮助我在代码中需要更改什么,执行插入和更新选项。 代码: Private Sub Form1_Load(sender As Object, e As EventArgs) Handles MyBase.Load
Dim test1 As String
test1 = "Select * from Custome
column_name="something with 10"
column_name ="something with 10 and more"
让我们考虑一下,我在上面的列中有数据库记录。我的逻辑是,如果我将column_name=放在“某某物%”(列名包含%),这将被视为一个通配符搜索,并将是一个类似的查询。如果我没有在column_name column_name=中指定%“Thingwith10”,这将被认为是一个相同的搜索
recordsRequest 请求column_name=“某事%”查询-从表中选择* column_name喜欢‘某某物%’,
我在oracle 11g上运行plsql developer。
我的select with like返回结果with (字符,尽管我没有请求
SELECT * FROM TableA a where a.cofiguration like '%a_mobile_sw';
它还返回具有值a_mobile_sw和a_mobile(sw )配置的记录
它如何返回包含'(‘字符的记录,尽管没有被请求?
在我的蔚蓝数据库中,我需要搜索包含_字符的任何行。这是数据库中的一个特殊字符,所以我尝试转义它,但结果得到了每一行。
select * from table where fieldColumn like '%_%'
will return everything on the table
select * from table where fieldColumn like '%\_%'
returns nothing
select * from table where fieldColumn = '_'
作品
那么,我如何才能得到只有一个_和其他所
我试图使用这个SQL表达式过滤结果:
SELECT ModelName, ModelSvmData, TrainedFeatureInfo, TrainedClassesInfo
FROM Models
WHERE NOT ModelName LIKE '_%'
(具有下划线的名称实际上将被过滤)
不幸的是,没有结果。列ModelName确实包含2行main和_main。
有什么暗示吗?