Matheus, obrigado. A Linguagem: Delphi. Como eu disse anteriormente o usuário é quem digita a contrabarra. Como Alguns usuários já acabaram se acostumando em usar a barra como "coringa", estou momentaneamente contornando com uma função do Dephi *ReplaceStr(where,'\', '%').* Não estou tratando contra SQL injection, preciso ler mais sobre. Para essa gambiarra temporária haveria riscos de SQL injection?
Em 6 de agosto de 2012 16:18, Matheus de Oliveira <matioli.math...@gmail.com > escreveu: > > > 2012/8/6 Anselmo Silva <anselmo....@gmail.com> > >> Euler, desculpe-me pelo top-posting, não tive a intenção. >> Já está nos planos a atualização, mas, por hora, tem um problema ao >> aplicar sua sugestão. talvez por inexperiência minha. >> >> Na aplicação o campo de busca oferece ao usuário uma opção de buscar: >> (1)*Pelo Início do termo* - Assim faço: (SELECT NOME FROM PROD WHERE >> NOME LIKE '\%'); >> (2)*Em qualquer parte do termo* - Assim faço: (SELECT NOME FROM PROD >> WHERE NOME LIKE '%\%'); >> (3)*Pelo Fim do termo* - Assim faço: (SELECT NOME FROM PROD WHERE NOME >> LIKE '%\'); AVISO: uso de \' fora do padrão em cadeia de caracteres >> (4)S*omente o Termo* - Assim faço: (SELECT NOME FROM PROD WHERE NOME >> LIKE '\');AVISO: uso de \' fora do padrão em cadeia de caracteres >> >> Use duas barras ao invés de uma, como já foi dito. > > Qual linguagem você usa? Algumas têm funções próprias pra "dar um escape" > na string automaticamente (ou você pode usar um replace básico, tipo str = > replace(str, "\", "\\")). Se você não está tratando isso, então está > sujeito à SQL Injection. > > Atenciosamente, > -- > Matheus de Oliveira > > > _______________________________________________ > pgbr-geral mailing list > pgbr-geral@listas.postgresql.org.br > https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral > > -- Anselmo M. Silva
_______________________________________________ pgbr-geral mailing list pgbr-geral@listas.postgresql.org.br https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
