MySQL LIKE语句参数安全处理与特殊字符过滤

在MySQL数据库查询中，LIKE语句常用于模糊匹配。然而，直接使用用户输入作为LIKE语句参数存在SQL注入风险，尤其当输入包含通配符%和_时。本文将讲解如何安全地处理LIKE语句参数，有效过滤%和_字符，避免SQL注入漏洞。

问题：SQL注入风险

假设用户输入的项目名称存储在$project变量中，查询语句如下：

WHERE project LIKE '%$project%'

若用户恶意输入'%' OR 1=1--，则查询条件变为WHERE project LIKE '%' OR 1=1--', 这将绕过原有条件，返回所有数据，造成SQL注入。

解决方案：特殊字符转义

为了防止SQL注入并处理特殊字符%和_，我们需要对$project变量进行转义。 虽然CONCAT函数拼接的方式存在安全隐患，但题目要求仅过滤%和_，因此可以使用字符串替换函数：

SET @escaped_project = REPLACE(REPLACE($project, '%', '\%'), '_', '\_');
SELECT * FROM your_table WHERE project LIKE CONCAT('%', @escaped_project, '%');

代码首先用REPLACE函数将$project中的%替换为\%，再将_替换为\_，存储到@escaped_project变量中。 然后，使用CONCAT函数将%添加到转义后的字符串前后，构成完整的LIKE条件。

重要提示： 此方法仅针对%和_进行转义，并非完整的SQL注入防护方案。 对于更复杂的场景和更全面的安全防护，强烈建议使用预处理语句 (prepared statement) 或参数化查询。 这是防止SQL注入的最佳实践，因为它将用户输入与SQL语句本身分离，有效避免SQL注入攻击。