如何转义 SQL LIKE 用户输入中的特殊字符？

Question

采取以下示例（SQL Server 2008 - 可能适用于更多）。您必须将 @query 想象成某个参数，其来源是用户输入：

DECLARE @query varchar(100)
SET @query = 'less than 1% fat'

CREATE TABLE X ([A] VARCHAR(100))
INSERT X VALUES ('less than 1% fat')
INSERT X VALUES ('less than 1% of doctors recommend this - it''s full of fat!')
SELECT * FROM X WHERE A LIKE '%' + @query + '%'
DROP TABLE X

查询声明 “脂肪含量低于 1%”，但实际上我们得到的比我们想要的要多：

less than 1% fat
less than 1% of doctors recommend this - it's full of fat!

为了获得所需的行为，我将 @query 更改为 '小于 1[%] fat' - 然后仅返回第一个结果。

是否有一种标准方法可以为使用 LIKE 的子句准备字符串，或者我必须自己编写字符串？

Answer 1

您可以使用自由文本搜索和 CONTAINS 或FREETEXT 谓词。带有前导通配符的 LIKE 会忽略索引并导致全表扫描，而全文搜索则使用现有的自由文本索引来加速搜索。您必须先配置自由文本索引，然后才能使用它。

如果您想坚持使用 LIKE，最好的解决方案是转义客户端代码中的字符串。 T-SQL 提供非常有限的字符串操作功能，并且 REPLACE 函数不提供甚至不接受通配符。您必须嵌套多个 REPLACE 语句才能说明 LIKE 使用的所有通配符。

如果您的搜索字符串可能包含 [ 或 ] 字符，您可以将其与 ESCAPE 子句结合使用，并使用 §、¶ 或 ¤ 等罕见字符作为转义字符。

Answer 2

SQL Server允许您指定转义字符，然后您就可以转义使用查询字符串之前。

我链接的 MSDN 页面的示例：

SELECT c1 
FROM mytbl2
WHERE c1 LIKE '%10-15!% off%' ESCAPE '!';