Хочу дать возможность пользователю писать формат поиска, который подставляется для текстовых полей после оператора LIKE и RLIKE:

... WHERE `field` LIKE "some"
... WHERE `field` RLIKE "some"

то есть, вот это some. чем обработать приходящую строку, чтобы не получилось ничего более поиска?
хватит ли mysql_real_escape_string()?
но ведь в строке могут быть служебные символы, типа \t и \\

или это уже само по определению всё отдаётся на совесть пользователя?

 

Добавлено через 1 минуту и 3 секунды
хотя можно сделать через select

в смысле? этот хвост ... WHERE `field` LIKE "some" - конец запроса select

пользователь сможет править только слово some

тьфу ты. я думал что LIKE


вполне

да.

ну, и пусть ищет "\t" или два слеша в тексте. mysql_real_escape_string, думаешь, только кавычки проэкранирует?

не, но фиг знает, каковы особенности национального mysql`я

http://php.net/mysql_real_escape_string

это уточнение или повторение?

или это
 
значит что-то большее, чем сказали вышеговорившие?

строго говоря, в лайк надо слешить бэкслеш дважды
только я не очень помню, это для безопасности, или чтобы он не терялся

Я бы порекомендовал делать поиск через FULLTEXT индексы, LIKE сильно тормозит

имеется ввиду прописывать в таблицу индексы?

нет, здесь имеется в виду примитивная фильтрация на базе неожиданно возникшего желания клиента. то есть это не система поиска.


ну, вот теперь я опять в загадках. первые два респондента ответили, что всё тип-топ. а с ваших постов я даже не знаю в какую сторону бежать

в документацию?

дык, по ссылке nerezus уже сходил. моё понимание дальше не пошло

 Ито источник ответа.
Там написано, что \ экранируется, а \t нет(и не должен).

 Чтобы правильно соответствовать данным: \_ \% в запросе вместо _ и % в данных.

 Прочитать данные по моей ссылке

нет, я говорил о бэкслеше, а не о метасимволах
но, кажется, это чтобы он не терялся, так что проблемы большой не будет

mysql_real_escape_string() всегда должен быть для корректного формирования строки в SQL-запросе, с безопасностью это никак не связано.

Сам паттерн LIKE'а тоже содержит спец. символы: "%", "_", "\"  Но не имеет смысла их экранировать в данной ситуации, поскольку тогда пропадает смысл LIKE. Или используй просто "=".

Добавлено через 2 минуты и 52 секунды
Хотя иногда делают так:


Это сообщение отредактировал(а) Pitlord - 27.11.2009, 18:27

да, такие символы нужны



честно говоря, это "иногда" убивает. 

вопрос же простой, если приходящую строку, которую впоследствии подставлю после LIKE, буду обрабатывать только mysql_real_escape_string(), этого хватит, чтобы пользователь не набедокурил?
/подставляться будет только в запросе select/

в смысле, чтобы он не вырвался за пределы запроса и не добавил какое-нибудь drop ... и т.п.

в документации что-то написано про енту замену слэшей. касательно моего вопроса я могу сделать вывод только, что всё будет в порядке.
из ваших постов после Скайбоя не понятно. то ли делай двойной mysql_real_escape_string, то ли не делай

истина где-то рядом, но к какой подошве она у меня прилипла?

Слабо в мануал по MySQL глянуть, а не PHP (хотя и туда ты тоже не особо захаживаешь похоже)? 


Налицо отсутствие понимания того, что ты делаешь такими функциями, как mysql_real_escape_string, htmlspecialchars, urlencode и пр.


Если кратко, то если бекслеш не экранировать, то это позволит пользователю искать символы "%" и "_". Если экранировать — они будут фигурировать только в качестве спец. символов LIKE и не более.

Это сообщение отредактировал(а) Pitlord - 27.11.2009, 18:55

мне кажется, это заблуждение.

Тебе что-то кажется, а я просто знаю.

Добавлено через 1 минуту и 3 секунды
Хотите разговаривать по сути — приводите примеры. У вас же просто танцы с бубном вокруг темы экранирования символов. "Надо или не надо экранировать?"

Насколько я вижу в документации, там ничего не написано про символы "%" и "_" в связи с рекомендацией экранировать слеш

по этому поводу уже говорил выше


спасибо, за замечание



ну, и страшно, что они будут искать эти самые символы?



пример? что угодно. я не знаю, на какую комбинацию пробьёт пользователя

В какой документации? Экранировать для чего — интерпретации строки в SQL-запросе, интерпретации паттерна LIKE?


Это ты себе вопрос задай, я тебе просто сказал что будет если экранировать и что — если нет.


Я не тебе в данном случае говорил. Тебе просто курить мануал:
http://dev.mysql.com/doc/refman/5.0/en/str...l#operator_like
http://dev.mysql.com/doc/refman/5.0/en/string-syntax.html

По ссылке написано про экранирование "%" и "_"
А я говорил про экранирование "\".
Которое никак с первым не связано

Попробуй с помощью LIKE, без использования "%" и "_" в качестве спец. символов, найти строку с записью "\%".

и то и другое надо экранировать, но слеш - дважды.

зачем просто говорить, если можно просто ответить?



не курю. мануалы я читаю. 
прочитал, ничего нового не узнал. и всё равно, совершенно не догоняю, что после поста Скайбоя вы мне пытаетесь втолковать. по ссылкам написано, что никакая последовательность символов не может выйти за пределы строки, если она была преобразована с помощью mysql_real_escape_string().

Ну вот, теперь правильно.

По-хорошему, должно быть так:


Но будет работать и так:

...., но это запутывает.

Проверить, что мы не соврали можно, заменив "%" на "_":


Добавлено через 1 минуту и 55 секунд
bars80080, короче, с безопасностью это никак не связано. Применил mysql_real_escape_string() — будет синтаксически корректная строка, ошибок не будет. "Вылезти" куда-то там нельзя.

а я ничего другого и не говорил.
но слеш надо экранировать дважды не поэтому. если мы ищем его одного, без %, то все равно дважды 

Это сообщение отредактировал(а) Ипатьев - 27.11.2009, 20:48

Я что, говорю что-то противоположное?

мля. тогда вопрос в первую очередь к nerezus, зачем было вводить в заблуждение?
второй вопрос к Ипатьев, почему было не ответить на вполне простой вопрос, а специально запутывать?
третий вопрос к Pitlord тот же что и к Ипатьеву

Ну, да.
фразу

лично я понимаю так, что слеш надо экранировать для того, чтобы позволить пользователю искать символы "%" и "_"
а на самом деле двойное экранирование слеша и поиск символов "%" и "_" никак между собой не связаны


Это сообщение отредактировал(а) Ипатьев - 27.11.2009, 20:51

Ты сам себя запутал. Нас запутал. А мы виноваты.

я задал вопрос, а затем его уточнил по просьбе Молекса. он и Скайбой меня поняли. ответили. всё ОК.

что началось потом?

Тебя поправили, сказав, что табуляция не превращается в "\" и "t" после mysql_real_escape_string().

Ипатьев, конечно, пусть сам объясняет свою фразу о двойном экранировании.

Она не моя. Она из документации   

А к чему эта фраза-то? Заставить пользователя почитать мануал перед поиском?