Mysql 替换&;amp;与&;
运行以下代码时,我遇到一条错误消息,指出我在此行中使用的分号:Mysql 替换&;amp;与&;,mysql,drupal-8,Mysql,Drupal 8,运行以下代码时,我遇到一条错误消息,指出我在此行中使用的分号: $select_stock->addExpression("REPLACE(b.corporateName, '&', '&')"); 因为符号和的位置不正确 无效辩论例外:;SQL字符串中不支持。一次只使用一条语句 还有别的办法解决这个问题吗 public function c_form_db_2($cName) { $select_stock = $this->connection-
$select_stock->addExpression("REPLACE(b.corporateName, '&', '&')");
因为符号和的位置不正确
无效辩论例外:;SQL字符串中不支持。一次只使用一条语句
还有别的办法解决这个问题吗
public function c_form_db_2($cName) {
$select_stock = $this->connection->select('stock', 'a');
$select_stock->fields('a', ['high', 'low', 'stockname']);
$select_stock->innerJoin('stockdetails', 'b', 'b.high = a.high');
$select_stock->condition('a.isCurrentPrice', 'Yes');
$select_stock->condition('a.isActive', 'Yes');
$select_stock->condition('b.status', 'Closing');
$select_stock->addExpression("REPLACE(b.corporateName, '&', '&')");
$select_stock->escapeLike($cName);
$select_stock->orderBy('a.tickerId', 'DESC');
$select_stock->orderBy('a.volId', 'DESC');
$select_stock_rows = $select_stock->execute()
->fetchAll(\PDO::FETCH_ASSOC);
return $select_stock_rows;
}
我不知道Drupal,但我假设REPLACE是标准的MySql函数,Drupal支持所有这些函数。在这种情况下,如果您碰巧运行的是MySql 8,那么不要使用REPLACE,而是使用REGEXP_REPLACE并与正则表达式“&.”进行匹配,使用通配符“;”假定为“;”的字符是唯一会被通配符匹配的字符。我不知道Drupal,但我假设REPLACE是标准的MySql函数,Drupal支持所有这些函数。在这种情况下,如果您碰巧运行的是MySql 8,那么不要使用REPLACE,而是使用REGEXP_REPLACE并与正则表达式“&.”进行匹配,使用通配符“;”假定为“;”的字符是唯一与通配符匹配的字符。我怀疑这意味着您的代码易受SQL注入的攻击。Drupal似乎没有注意到分号位于带引号的字符串参数中,以
REPLACE()
。我不使用Drupal,但可能尝试转义它<代码>“&\;”代码>?我认为这是drupal在提交之前测试语句,以确保它不包含分号,因为它不允许同时提交多个SQL语句。如果$amp
被参数化(像用户输入一样处理),因此SQL可以与参数分开提交,drupal会很高兴。我不是drupal专家,所以这里有点猜测。@Barmar为了清楚起见:错误似乎表明所使用的底层查询生成器系统易受SQL攻击。用户输入很可能在其他地方与同一个查询生成器一起使用。我怀疑这意味着您的代码易受SQL注入的攻击。Drupal似乎没有注意到分号位于带引号的字符串参数中,以REPLACE()
。我不使用Drupal,但可能尝试转义它<代码>“&\;”代码>?我认为这是drupal在提交之前测试语句,以确保它不包含分号,因为它不允许同时提交多个SQL语句。如果$amp
被参数化(像用户输入一样处理),因此SQL可以与参数分开提交,drupal会很高兴。我不是drupal专家,所以这里有点猜测。@Barmar为了清楚起见:错误似乎表明所使用的底层查询生成器系统易受SQL攻击。用户输入可能在其他地方使用同一个查询生成器。这是一个好主意,但我不使用MySQL 8:(这是一个好主意,但我不使用MySQL 8:(