清理mysql搜索字符串的函数（主要是删除通配符）？

Question

是否有内置的 php（或 MySQL）函数可以清理搜索中使用的字符串？在本例中，我只想在将字符串字母表（大写字母和小写字母）传递到 MySQL 正则表达式之前创建它。

我使用 PDO 和参数化查询，所以我不担心 SQL 注入。但是，我想确保有人不会传入通配符并占用太多内存。到目前为止，这就是我用来删除除空格和字母表之外的所有内容的方法。这够了吗？

preg_replace("/[^A-Za-z\s\s+]/", "", $query);

Answer 1

为什么不简单地删除 % 和 ？？这些是从记忆角度来看很重要的通配符。从长远来看，这将为您提供最大的可扩展性，而不会为后来的开发人员引入另一种 WTF??! 潜力？

就此而言，您可以通过避免 LIKE 来完全回避该问题，但这可能是不可能的。

如果您必须比这更有选择性，那么我会排除所有[^\w\s]+。您不想排除数字，并且允许 - 和 _ 没有什么坏处。

Answer 2

您拥有的正则表达式将删除的不仅仅是您担心的通配符，所以我认为这不是最好的解决方案。 （你无疑听说过这个引用，但无论如何我都会重复一遍。）

有些人在遇到问题时会想：“我知道，我会用
正则表达式。”

现在他们有两个问题。

有内置的 PHP 函数可以帮助您进行过滤。看看使用 filter_var() 与 PHP 的清理过滤器，如果您想做清理 URL 或电子邮件之类的事情，

但是，就您的情况而言，我认为以下是最简单的。

// Are there any I missed?
$keys = array("?", "%");  
$sanitized = str_replace($keys, "", $query);