今天寫一個模糊匹配的接口的時候,發現PyMysql的防注入方式會將%給轉義,就算是寫兩個%%也是無用,依舊查不出來結果
Google翻了,Baidu翻了,一樣沒有適用的解決方法。
后來靈機一動想到了方法,記下來以免丟失。
sql_info = sql_tool.fetch_all('SELECT id,`name`,remark,phone,classify_id,title_img FROM store WHERE `name` LIKE %s',('%'+key+'%'))
要注意的是%s前后不能加引號否則會導致查詢失敗