Bug или Feature Autocomplete на сайте?

Question

[pyatin]

Всем привет


Для создании авто-заполнения на сайте, часто используется

SELECT field FROM table WHERE field LIKE 'SOME_STRING%'

Так вот часто символы % и _ не заменяются и не экранируются, что приводит к следующему:




В принципе в этом никакой угрозы нет, но все же непонятно что с этим делать.

В текущем проекте решил не давать пользователям такой возможности.


Интересуют мысли и соображения сообщества по данному вопросу.

Answer 1

[Leestex]

Думаю все же стоит экранировать такие символы. А вот фичу можно оставить. Скажем, назначить ее другой комбинации и перенести все это в какой-нибудь аккуратный хелпер.

Comments

[Leestex]

Я человек достаточно далекий от безопасности SQL запросов, так что это просто предположение, если что.

Answer 2

[Пума Тайланд]

Как вообще можно запрещать неэкранированный ввод пользователю?

Comments

[pyatin]

Здесь идет речь о экранировании спец символов для LIKE в mySQL а не экранировании кавычек и слешей.
php функция mysql_escape_string например не экранирует % и _.

Answer 3

[Wott]

Это зависит от. Например сейчас у нас UI для asteriska для своих и там % и _ вовсю пользуются, а вот для публичного сервиса лучше не стоит, иначе непонятной квалификации пользователь получит непонятную для него ситуацию если вдруг тот же % всплывет в данных.

Answer 4

[egorinsk]

> Так вот часто символы % и _ не заменяются и не экранируются, что приводит к следующему:

Это обычная невнимтельность разработчиков, эти символы надо экранировать и они будут работать как задумано.

Answer 5

[justhack]

если уже делать быстрый поиск — то через настроенный Sphinx