Dane z formularza a polecenie LIKE Opcje

[Haczyk67]

Pobieram dane z formularza i wykorzystuję je do wykonania zapytania do MySQL z poleceniem LIKE '%$dane_z_formularza%'.

Wyczytałem że mysql_real_escape_string nie zabezpiecza przed atakiem SQL Injection z użyciem znaków %. Intruz może dopisać '%' w formularzu i wykonać wpisane przez siebie polecenie. Nie mogę usunąć '%' z zapytania bo takie znaki też mogą się znaleść w bazie. Jak zabezpieczyć się przed tym?

[Maciekbjw]

Znany problem (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Rozwiązań masz kilka

Kiedyś użyłem chyba czegoś takiego:

[PHP] pobierz, plaintext 
<?php
  if(!preg_match('/%/',$_POST['fraza']))
      {
 
         //tutaj zapytanie SQL
      }
   else {
          //nie wykona zapytania 
}
 
?>
[PHP] pobierz, plaintext 

Niemniej można to też inaczej rozwiązać.

[Haczyk67]

Hm nie do końca o takie rozwiązanie mi chodzi. Przecież fraza może być np. "50%". Dlaczego mam nie wykonywać zapytania tylko dlatego że ktoś wpisał %? Jak to inaczej rozwiązać?

[Fifi209]

Ja nie widzę problemu przy zapisie %
możesz go zapisać jako np. {$37$}

i stworzyć prosty parser takich znaków ;d

a wyświetlisz go potem:
chr(37);

[Haczyk67]

Widzę że Google ignoruje %

http://www.google.pl/search?hl=pl&q=50...=Szukaj&lr=

chyba też tak zrobię ;P

[mls]

[PHP] pobierz, plaintext 
<?php
$dane_z_formularza = str_replace('%', '%%', $dane_z_formularza);
?>
[PHP] pobierz, plaintext 

przed przekazaniem do zapytania SQL...

[Haczyk67]

Rozumiem że %% działa na tej samej zasadzie co // , tak?