where не сравнивает регистр

[Devillio]

where не сравнивает регистр

Господа, я все постигаю методом тыка, институтов не кончали, как говорится, так вот любопытная для меня вешь: в запрос

$sql="select * from ".USR_TABLE." where username='".$_GET["user"]."'";

попадает и devillio, и Devillio, и dEvILlIO. Как избавиться от сего бага? ...или фичи?

Благодарю.

-~{}~ 20.09.05 14:03:

как то я тему неверно поставил: where не учитывает регистр при сравнении - так правильнее.

 

[440hz]

Re: where не сравнивает регистр

Автор оригинала: Devillio
Господа, я все постигаю методом тыка, институтов не кончали, как говорится, так вот любопытная для меня вешь: в запрос

постигать надо методом скурпулезного изучения документации ибо там 99% ответов и есть. например настройки регистрозависимости таблиц, полей, поиска и т.д.

p.s. так и хочется кавычку AND 1=1 в $_GET['user'] вставить. гыгыгы

 

[Кром]

>Как избавиться от сего бага? ...или фичи?

Это не баг и не фича, это ты работаешь с регистронезависимым полем.

Как избавиться, можешь посмотреть в поиске.

 

[Panchous]

http://dev.mysql.com/doc/mysql/en/string-types.html

 

[Oleg Marchuk]

Re: where не сравнивает регистр

Одно из возможных решений:
[sql]
select * from test;
[/sql]
+----+------+
| id | name |
+----+------+
| 1 | name |
| 2 | Name |
+----+------+
2 rows in set (0.00 sec)

[sql]select name from test where STRCMP(name,cast('Name' as binary))=0;
[/sql]
+------+
| name |
+------+
| Name |
+------+
1 row in set (0.00 sec)

 

[Devillio]

Это не баг и не фича, это ты работаешь с регистронезависимым полем.

выходит, фича. полез в документацию

народ, а че то мысль

p.s. так и хочется кавычку AND 1=1 в $_GET['user'] вставить. гыгыгы

меня навела на иную мысль, что так можно всю мою табличку слить... как же быть? (я понимаю, мысль offtopic, но все же). Это уже не мысль, это паника.

 

[crocodile2u]

escape'ить надо строки, когда вставляешь их в запрос...

 

[Devillio]

впрочем, если реализовать, как предлагает уважаемый Oleg Marchuk, то можно не волноваться насчет user=' AND '1=

пошел тестировать. всем спасибо.

 

[Oleg Marchuk]

Devillio
Нужно волноваться. Смотри:

$_GET['param'] = "' AS binary) ) = 0 or 1=1 or STRCMP(name, cast('";
$sql = "SELECT name
FROM test
WHERE STRCMP( name, cast( '"$_GET['param']."' AS binary ) ) = 0";

Получим
[SQL]
FROM test
WHERE STRCMP( name, cast( '' AS binary) ) = 0 or 1=1 or STRCMP(name, cast('' AS binary ) ) = 0
[/SQL]

 

[Апельсин]

Devillio, а версия какая? Если 4.1 и выше, то ставишь просто collation который case sensitive.

 

[Фанат]

мысль, что так можно всю мою табличку слить... как же быть?

PHP FAQ: \"Кавычки \". Cоставление запросов mysql, слеши, экранирование кавычек.