我将PDO与SQLite一起使用,并希望为unicode字符串实现不区分大小写的匹配。
我找到了this:
function lexa_ci_utf8_like($mask, $value) {
$mask = str_replace(
array("%", "_"),
array(".*?", "."),
preg_quote($mask, "/")
);
$mask = "/^$mask$/ui";
return preg_match($mask, $value);
}
$pdo->sqliteCreateFunction('like', "lexa_ci_utf8_like", 2);
我需要将它与不受信任的文本一起使用,因此我使用参数化查询。
问题是不受信任的文本可能包含%或_等通配符,我不希望它们表现为通配符
答案 0 :(得分:1)
我认为
function lexa_ci_utf8_like($mask, $value) {
return preg_match('/^' . preg_quote($mask, '/') . '$/ui', $value);
}
$pdo->sqliteCreateFunction('like', "lexa_ci_utf8_like", 2);
将起作用,因为SQL通配符%和_不是正则表达式通配符,preg_quote从不受信任的文本中转义正则表达式字符。
<强>测试用例
SELECT 'à' like 'À' // 1 Just testing if utf8 works
SELECT 'aa' like '%a'; // 0 `%` not used as wildcard!
SELECT 'aa' like '_a'; // 0 `_` not used as wildcard!
答案 1 :(得分:0)
如果您希望百分号符号成为字符串参数的一部分,请用方括号括起来。在将参数发送到数据库之前,请使用应用程序代码执行此操作。