我将PDO与SQLite一起使用,并希望为unicode字符串实现不区分大小写的匹配。
我发现了这个:
function lexa_ci_utf8_like($mask, $value) {
$mask = str_replace(
array("%", "_"),
array(".*?", "."),
preg_quote($mask, "/")
);
$mask = "/^$mask$/ui";
return preg_match($mask, $value);
}
$pdo->sqliteCreateFunction('like', "lexa_ci_utf8_like", 2);
我需要将它与不受信任的文本一起使用,所以我使用参数化查询。
问题是,不受信任的文本可能包含像%或_这样的通配符,我不希望它们表现为通配符
我认为
function lexa_ci_utf8_like($mask, $value) {
return preg_match('/^' . preg_quote($mask, '/') . '$/ui', $value);
}
$pdo->sqliteCreateFunction('like', "lexa_ci_utf8_like", 2);
因为SQL通配符%和_不是正则表达式通配符,并且preg_quote从不受信任的文本中转义正则表达式字符。
测试用例
SELECT 'à' like 'À' // 1 Just testing if utf8 works
SELECT 'aa' like '%a'; // 0 `%` not used as wildcard!
SELECT 'aa' like '_a'; // 0 `_` not used as wildcard!
如果希望百分比符号成为字符串参数的一部分,请用方括号将其括起来。在将参数发送到数据库之前,请对应用程序代码执行此操作。