web-dev-qa-db-ja.com

Node MySQLエスケープLIKEステートメント

Node-mysqlでMySQL LIKEステートメントをエスケープするにはどうすればよいですか?

の線に沿った何か

"SELECT * FROM card WHERE name LIKE '%" + connection.escape(req.body.search) + "%'"

結果

'SELECT * FROM card WHERE name LIKE \'%\'hello\'%\''

これは構文エラーです。の代替構文を使用する場合

connection.query("SELECT * FROM card WHERE name LIKE '%?%'", req.body.search, function () {});

同様の構文エラーが発生します。私も試しました

connection.query("SELECT * FROM card WHERE name LIKE ?", '%' + req.body.search + '%', function () {});

これは '%'記号をエスケープするだけです。

26
dtsn

最後の例で%をエスケープしている理由がわかりません。

// lifted from my code:
var value = 'ee20e966289cd7';
connection.query('SELECT * from Django_session where session_key like ?', '%' + value + '%', ...)

// Result:
[ { session_key: '713ee20e966289cd71b936084a1e613e', ... } ]

ドライバーでデバッグをオンにすると(debug:trueへの引数としてmysql.createConnectionを渡す)、パーセント記号がエスケープされません。

{ command: 3,
  sql: 'SELECT * from Django_session where session_key like \'%ee20e966289cd7%\'' }

(それはdoes単一引用符をエスケープしますが、これは表示のみを目的としています)

[email protected]を使用)

29
robertklep

私は次のようなもので成功しました

"SELECT * FROM card WHERE name LIKE " + connection.escape('%'+req.body.search+'%')
12
Gary

いかがですか

mysql.format("SELECT * FROM card WHERE name LIKE CONCAT('%', ?,  '%')", req.body.search)

1
Lukasz Prus

いつでもできる

variable = '%${variable}%'
"SELECT * FROM 'table' WHERE ('foo' LIKE ?);", 
[variable], callback =>