MySQL 中 LIKE 查询时怎样安全过滤参数

在使用 MySQL 进行数据查询时，LIKE 语句是一个非常实用的工具，它允许我们进行模式匹配。然而，当涉及到用户输入参数时，如果处理不当，就可能引发安全问题，比如 SQL 注入。安全过滤参数至关重要。

我们要明白 SQL 注入的风险。当用户输入的参数直接拼接到 LIKE 查询语句中时，恶意用户可能会输入特殊字符和 SQL 语句片段，从而改变查询的逻辑，获取或篡改敏感数据。例如，正常的 LIKE 查询可能是：SELECT * FROM users WHERE username LIKE '%$input%'，如果 $input 是用户输入且未经过滤，恶意用户输入 ' OR 1=1 --'，那么查询就会变成 SELECT * FROM users WHERE username LIKE '%' OR 1=1 --%'，这样就会返回所有用户数据，造成数据泄露。

为了避免这种情况，最常用的方法是使用预处理语句。在 PHP 中，结合 PDO 扩展来实现安全的 LIKE 查询参数过滤，示例代码如下：

$input = $_GET['input'];
$pdo = new PDO('mysql:host=localhost;dbname=your_database', 'username', 'password');
$stmt = $pdo->prepare("SELECT * FROM users WHERE username LIKE :input");
$input = '%'.$input.'%';
$stmt->bindParam(':input', $input, PDO::PARAM_STR);
$stmt->execute();
$result = $stmt->fetchAll(PDO::FETCH_ASSOC);

在这段代码中，我们通过 prepare 方法创建了预处理语句，使用 bindParam 方法将参数安全地绑定到查询中，从而防止了 SQL 注入。

另外，还可以对用户输入进行严格的验证和过滤。比如，只允许输入特定字符集内的字符，去除特殊字符。可以使用正则表达式来实现，示例如下：

$input = $_GET['input'];
if (!preg_match('/^[a-zA-Z0-9]+$/', $input)) {
    die('输入不合法');
}
$input = '%'.$input.'%';
// 后续进行正常的 LIKE 查询

这样可以确保输入的参数符合我们的预期，进一步增强安全性。

在 MySQL 中进行 LIKE 查询时，务必重视参数的安全过滤。使用预处理语句结合严格的输入验证，可以有效地防范 SQL 注入风险，保护数据库的安全和数据的完整性。