开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

当与postgres crate的查询函数一起使用时，ilike表达式中的"$1“参数需要转义吗？

在使用 postgres crate 进行 PostgreSQL 数据库查询时，ILIKE 表达式用于执行不区分大小写的模糊匹配。当你在 ILIKE 表达式中使用参数（如 $1）时，通常不需要对这些参数进行转义，因为 postgres crate 会自动处理参数的转义以防止 SQL 注入攻击。

以下是一个使用 ILIKE 和参数的示例：

use postgres::{Client, NoTls};

fn main() -> Result<(), Box<dyn std::error::Error>> {
    let mut client = Client::connect("host=localhost user=postgres dbname=mydb", NoTls)?;

    let search_term = "%example%"; // 假设这是用户输入的搜索词
    let query = "SELECT * FROM users WHERE username ILIKE $1";

    for row in client.query(query, &[&search_term])? {
        let username: &str = row.get(0);
        println!("Found user: {}", username);
    }

    Ok(())
}

在这个示例中，$1 是一个参数占位符，&[&search_term] 是一个包含实际参数值的切片。postgres crate 会自动处理参数的转义，确保查询的安全性。

为什么不需要转义？

参数化查询：postgres crate 使用参数化查询来防止 SQL 注入。参数化查询将 SQL 语句和参数分开处理，确保参数值不会被解释为 SQL 代码的一部分。
自动转义：postgres crate 在内部会对参数值进行转义，确保它们不会破坏 SQL 语句的结构。

可能遇到的问题及解决方法

SQL 注入：如果你手动拼接 SQL 字符串，而不是使用参数化查询，可能会导致 SQL 注入攻击。确保始终使用参数化查询来避免这种风险。
特殊字符：即使使用参数化查询，某些特殊字符（如 % 和 _）在 ILIKE 表达式中具有特殊含义。确保这些字符在参数值中被正确处理。例如，如果你想匹配包含 % 或 _ 的字符串，可以使用 ESCAPE 关键字。

例如：

SELECT * FROM users WHERE username ILIKE '%/%' ESCAPE '/';

在这个示例中，/ 被指定为转义字符，因此 %/% 会被解释为字面值而不是通配符。

总结

使用 postgres crate 进行参数化查询时，不需要手动转义 ILIKE 表达式中的参数。
确保始终使用参数化查询来防止 SQL 注入攻击。
对于特殊字符，可以使用 ESCAPE 关键字进行处理。

参考链接：

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

SqlAlchemy 2.0 中文文档（二十七）

AttributeState对象通过特定InstanceState的InstanceState.attrs集合访问：

01

PostgreSQL - 模糊查询

like、not like在SQL中用于模糊查询，%表示任意个字符，_表示单个任意字符，如果需要在模糊查询中查询这两个通配符，需要用ESCAPE进行转义，如下：

02

SqlAlchemy 2.0 中文文档（三十八）

使用数据库元数据 - SQLAlchemy 的数据库元数据概念入门教程，位于 SQLAlchemy 统一教程中

01

10 元编程

元编程（英语：Metaprogramming），又译超编程，是指某类计算机程序的编写，这类计算机程序编写或者操纵其它程序（或者自身）作为它们的资料，或者在运行时完成部分本应在编译时完成的工作。多数情况下，与手工编写全部代码相比，程序员可以获得更高的工作效率，或者给与程序更大的灵活度去处理新的情形而无需重新编译。

02

ClickHouse SQL 语法极简教程

ClickHouse是一个用于联机分析(OLAP)的列式数据库管理系统(DBMS)。

03

Lamda表达式详解

1、λ 希腊字母表中排序第十一位的字母，英语名称为 Lamda 2、避免匿名内部类定义过多 3、可以让你的代码看起来很简洁 4、去掉了一堆没有意义的代码，留下核心的逻辑 3、其实质属于函数式编程的概念

02

【Postgresql】索引类型（btree、hash、GIST、GIN）

Postgresql 存在许多特定的索引查询类型，和大部分的Btree为基础架构的关系型数据库一样，在创建索引缺省的时候会把btree作为默认值。

03

零开销、编译时动态SQL ORM方面的探索

在某种高级语言中，如果嵌入了SQL语句，而这个SQL语句的主体结构已经明确，例如在Java的一段代码中有一个待执行的SQL“select * from t1 where c1>5”，在Java编译阶段，就可以将这段SQL交给数据库管理系统去分析，数据库软件可以对这段SQL进行语法解析，生成数据库方面的可执行代码，这样的SQL称为静态SQL，即在编译阶段就可以确定数据库要做什么事情。而如果嵌入的SQL没有明确给出，如在Java中定义了一个字符串类型的变量sql：String sql;，然后采用preparedStatement对象的execute方法去执行这个sql，该sql的值可能等于从文本框中读取的一个SQL或者从键盘输入的SQL，但具体是什么，在编译时无法确定，只有等到程序运行起来，在执行的过程中才能确定，这种SQL叫做动态SQL

03

rust声明式宏

在 rust 中，我们一开始就在使用宏，例如 println!, vec!, assert_eq! 等。看起来宏和函数在使用时只是多了一个 !。实际上这些宏都是声明式宏（也叫示例宏或macro_rules!），rust 还支持过程宏，过程宏为我们提供了强大的元编程工具。

01

听GPT 讲Rust源代码--src/tools(7)

在Rust源代码中，rust-analyzer/crates/ide/src/inlay_hints/chaining.rs这个文件的作用是生成Rust代码中的链式调用提示。

01

【每周一库】- cached - 缓存结构型、辅助函数记忆化

cached 提供几种不同缓存结构型的实现和一个易用的用作定义记忆化函数的宏，可为动态规划算法的实现带来很大的便利

03

常用sql查询语句记录

要按月统计每月的订单数量，您可以使用MySQL中的日期函数和聚合函数。假设您有一个名为"orders"的表，其中包含订单信息，并且有一个名为"order_date"的列，其中包含订单的日期。

01

【Rust日报】2022-03-12 tower-lsp 发布 v0.16.0

基于 Tower 的 Rust 实现的语言服务器协议，用于构建 LSP 服务器的轻量级框架。

05

模式匹配

如果在不设置全文搜索的情况下，如何过滤查询结果，您会选择哪种方法？LIKE也许是最容易想到的：

03

这次只学一点 Rust 语法大概不会怀孕了吧(1)

本文来自喵哥 CrLF0710 的知乎：https://zhuanlan.zhihu.com/p/105181947

03

Django官方文档小结(二) -- QuerySet

字段查找是指定SQL WHERE子句的内容的方式。它们被指定为QuerySet方法的关键字参数filter()， exclude()并且get()。

02

Spring认证中国教育管理中心-Spring Data JPA 参考文档五

原标题：Spring认证|Spring Data JPA 参考文档五(内容来源：Spring中国教育管理中心）

02

[数据库]Postgres和Mysql性能比较

在 Arctype 社区里，我们回答了很多关于数据库性能的问题，尤其是 Postgres 和 MySQL 这两个之间的性能问题。在管理数据库中，性能是一项至关重要而又复杂的任务。它可能受到配置、硬件、或者是操作系统的影响。PostgreSQL 和 MySQL 是否具有稳定性和兼容性取决于我们的硬件基础架构。

00

Swift基础嵌套

翻译自：https://docs.swift.org/swift-book/LanguageGuide/Closures.html#ID102

00

Oracle转换Postgres

首先需要对Oracle和PostgreSQL的SQL都比较熟悉。对其理解的越详细就越具有优势，本文帮助读者迅速理解这两类SQL的区别是什么。

00

听GPT 讲Rust源代码--compiler(31)

在Rust源代码的rust/compiler/rustc_ast_passes/src/node_count.rs文件中，它定义了Rust编译器中的AST节点计数器。该文件的作用是统计不同类型的AST节点在程序中的数量，以便在优化和调试过程中能够提供有用的信息。

01

Oracle转换Postgres

首先需要对Oracle和PostgreSQL的SQL都比较熟悉。对其理解的越详细就越具有优势，本文帮助读者迅速理解这两类SQL的区别是什么。

03

听GPT 讲Rust源代码--compiler(30)

在Rust的编译器源代码中，rust/compiler/rustc_const_eval/src/transform/promote_consts.rs文件的作用是执行常量传播和优化的转换过程。

01

WordPress 的 PHP 编码规范

WordPress 的 PHP 编码标准对整个 WordPress 社区都适用，但是对于 WordPress 核心代码是强制要求的，而对于主题和插件，WordPress 则鼓励使用，因为主题和插件的作者可能会选择遵循别的编码风格。

04

PostgreSQL 和 MySQL 之间的性能差异

在管理数据库时，性能是一项非常重要而又复杂的任务。它可能会受到系统的配置、硬件甚至设计的影响。有趣的是，PostgreSQL和MySQL都配置了兼容性和稳定性，这取决于我们的数据库设计的硬件基础架构。

02

Python爬虫系列：正则表达式(2)

常见形式为：r'text'，即在字符串之前添加一个大写或小写的r。例如：r'[1-9]\d{5}'。

06

Elasticsearch--Date math在索引中的使用

在Elasticsearch，有时要通过索引日期来筛选某段时间的数据，这时就要用到ES提供的日期数学表达式　　描述：　　特别在日志数据中，只是查询一段时间内的日志数据，这时就可以使用日期数学表达式，这样可以限制检索的索引数量，减少集群的负载，提高系统性能。　　几乎所有的API都支持日期索引中的数学参数值。　　基于日期数学表达式的索引： <static_name{date_math_expr{date_format|time_zone}}> 　　其中各个字段的含义是：　　static_name

09

Java 多线程基础

多线程（multithreading）：指从软件或者硬件上实现多个线程并发执行的技术。

00

【译】为嵌入式 C 程序员编写的 Rust 指南

这是来自 Google OpenTitan 团队，给嵌入式 C 程序员专门打造的一份 Rust 指南。

03

进阶数据库系列（十二）：PostgreSQL 索引技术详解

索引主要被用来提升数据库性能，不当的使用会导致性能变差。 PostgreSQL 提供了多种索引类型： B-tree、Hash、GiST、SP-GiST 、GIN 和 BRIN。每一种索引类型使用了一种不同的算法来适应不同类型的查询。默认情况下，CREATE INDEX 命令创建适合于大部分情况的 B-tree 索引。

04

[Rust笔记] 规则宏的“卫生保健”

规则宏mbe即是由macro_rules!宏所定义的宏。它的英文全称是Macro By Example。相比近乎“徒手攀岩”的Cpp模板·元编程，rustc提供了有限的编译时宏代码检查功能（名曰：Mixed Hygiene宏的混合保健）。因为rust宏代码·被展开于·编译过程中的语法分析阶段（请见下图），所以rustc相较于g++/gcc拥有更多可用作“代码静态分析”的信息。

01

100个最常问的JavaScript面试问答-第1部分（共10部分）

JavaScript（JS）是一种具有一流功能的轻量级，解释性或即时编译的编程语言。尽管它是最著名的网页脚本语言，但许多非浏览器环境也使用它，例如Node.js，Apache CouchDB和Adobe Acrobat。JavaScript是基于原型的，多范式，单线程的动态语言，支持面向对象，命令式和声明式（例如，函数式编程）样式。

02

Postgresql查询执行模块README笔记

每个节点在被调用时将在其输出序列中生成下一个元组，如果没有更多的元组可用，则为 NULL。

01

听GPT 讲Rust源代码--src/tools(23)

在Rust源代码中，rust/src/tools/clippy/rustc_tools_util/src/lib.rs文件的作用是为Clippy提供了一些实用工具和辅助函数。

01

GaussDB(DWS)外连接向内连接的转换

【摘要】外连接为什么要转为内连接？在查询优化的过程中，内连接的表之间的连接顺序可以随意交换，where或on条件中只涉及单表的条件可以下推到表上作为表的过滤条件；而对于外连接来说，表的连接顺序不能随意交换，约束条件也不能随意的下推。如果可以将外连接转换为内连接，那么就可以简化查询优化过程。

02

数据库PostrageSQL-版本和平台兼容性

array_nulls (boolean) 这个参数控制数组输入解析器是否把未用引号的NULL识别为一个空数组元素。默认为on，允许输入包含空值的数组值。但是PostgreSQL 8.2 之前的版本不支持数组中的空值，并且因此将把NULL当作指定一个值为字符串“NULL”的正常数组元素。对于那些要求旧行为的应用的向后兼容性，这个变量可以被设置为off。

02

6.8K Star神器!自动生成正则表达式

01

sequelize常用api

目前有许许多多的ORM，但是目前最为流行的依然是sequelize，所以这里总结写之前自己写自己的博客所涉及到的点，分享给大家，让大家也可以少踩坑，更快入门。

03

Ktorm - 让你的数据库操作更具 Kotlin 风味

在开始之前，我们先回顾一下上篇文章中的员工-部门表的例子，这次我们的示例也是基于这两个表。下面是使用 Ktorm 定义的这两个表的结构：

02

R语言︱文本（字符串）处理与正则表达式

处理文本是每一种计算机语言都应该具备的功能，但不是每一种语言都侧重于处理文本。R语言是统计的语言，处理文本不是它的强项，perl语言这方面的功能比R不知要强多少倍。幸运的是R语言的可扩展能力很强，DNA/RNA/AA等生物序列现在已经可以使用R来处理。

02

Spring认证中国教育管理中心-Spring Data R2DBC框架教程三

原标题：Spring认证中国教育管理中心-Spring Data R2DBC框架教程三（Spring中国教育管理中心）

03

一起学Elasticsearch系列-脚本查询

Elasticsearch的 Scripting 是一种允许你使用脚本来评估自定义表达式的功能。通过它，你可以实现更复杂的查询、数据处理以及柔性调整索引结构等。

00

shell 基本语法

jenkins 上构建项目时，经常需要借助 shell 脚本，最近也经常跟服务器打交道，顺便记录些常用命令，方便查阅

03

第2章 | Rust 导览

安装 Rust 的最佳方式是使用 rustup。请转到 rustup.rs 网站并按照那里的说明进行操作。

01

go 开发者的 rust 入门

即：在任意给定时间，要么只能有一个可变引用，要么只能有多个不可变引用。引用必须总是有效的。

[工具推荐]串口调试工具--UartAssit

视频演示：http://mpvideo.qpic.cn/0bf2uyaamaaajaae4pjyrzqvbjwda2taabqa.f10002.mp4? UartAssit串口调试助手，广泛应

01

千呼万唤始出来，MySQL 8.0索引三剑客之函数索引

独孤九剑，重剑无锋，大巧不工，通晓剑意，无所施而不可。三剑客之首，函数索引。函数索引这个概念并不新颖，Oracle早在十年前的Oracle10g中就支持了函数索引，函数索引在Oracle数据库中使用相当广泛和成熟，而MySQL却一直没有开发相关的索引功能。不过好消息是，MySQL 终于在8.0版本引入了这一特性。真的是，千呼万唤始出来，不过好歹还是来了。

02

浅析漏洞防范

SQL注入漏洞：在编写操作数据库的代码时，将外部变量直接拼接到SQL语句中且没有经过任何过滤机制就放入数据库中执行。

02

ECMAScript 2018(ES9) 的新特性总结

在async/await的某些时刻，我们可能尝试在同步循环中调用异步函数。例如下面两段代码：

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭