各位大佬， mysql 中模糊查询 % 和 _这个特殊符号的有什么解决方法？传递特殊符号会有注入问题么？有的话一般怎么解决？

放心, SQL 注入是过去时了, 现在的框架都可以抵御 SQL 注入.

@Mogamigawa 不不不 框架有能力 ，不代表你就写不出来 sql 注入。

当你需要引用外部输入的变量去构建 sql 语句时候，对输入进行转义就可以了。
具体如何转义，各个语言的 mysql api 一般都有提供方法。

这种广泛存在的问题应该是有规范的吧，有些网站是可以是用全部特殊符号，但是有些网站又会限制某些特殊符号，但是用提示和过滤显得有些麻烦，总不能每个接口有用户输入都要做这些提示吧，且这些特殊符号也有相应的使用场景，啊想想这一连串的问题，真是莫名的头大，而我只是一个改 bug 的垃圾小前端！ want to go die ！

@xiaochun41 我们老大说会有注入问题应该避免传特殊符号，我觉得这并不是一个好的方式，毕竟会莫名的增添很多麻烦

使用 mysql 的预编译语句可有效防止 sql 注入
````
// 省略……
PreparedStatement ps = con.prepareStatement(sql);
ps.setString(xxx)
// 省略……
````

使用了预编译语句，特殊符号当成普通参数一样插入就行

@autung 你也可以直接在获取输入的地方，统一做一下，并不算麻烦。

连 CPU 也有 BUG

不嫌累，不嫌加载过慢，就层层加密，层层审计

一般，直接用框架，多快好省

@manami 下次让后端小伙子自己试试

@autung 卧槽刚仔细看了下与预编译不能处理%和_特殊字符

那只能在执行 sql 语句前对参数进行过滤了

关键词在后台过滤一下

@VictorJing94 我觉得这才是最正确的答案，毕竟前端的传递的内容和方式都不能信任

用 instr 代替 like %param%查询

% 用 '\' 转义吧

instr ?

@hhgfy it's right

不同的数据库也提供了转义符，谷歌的关键词叫 sql like ecsape

前端不需要刻意处理。后端接收到你提交的数据库后，让后端连接数据库时，基于 SQL 进行预编译处理。