数据库里那些奇怪字符转义到底怎么搞才不会出错啊？

整理自知乎、CSDN等技术社区用户的讨论和分享）

直接说重点：处理数据库里的奇怪字符转义，核心就一句话——永远不要让用户输入的数据，未经处理就直接拼接到SQL语句里。

这听起来简单,但新手（甚至一些老手）栽跟头的坑可太多了，那些“奇怪字符”，比如单引号（'）、双引号（"）、反斜杠（\）、百分号（%）、下划线（_）等等，在数据库的SQL语言里有特殊的含义，当你把它们直接塞进SQL语句时，数据库会误解你的意图，轻则查询出错，数据乱码，重则导致严重的安全漏洞——这就是臭名昭著的“SQL注入攻击”。

为什么你的转义总出错？常见踩坑点：

1. 自己手动转义，费力不讨好。 很多人第一个想法是：我写个函数，把单引号替换成两个单引号，把反斜杠前面再加个反斜杠……停！这个方法理论上有用，但极其容易出错，不同的数据库（MySQL, PostgreSQL, SQL Server……）对字符转义的规则有细微差别，甚至同一个数据库的不同配置模式下（比如MySQL的ANSI_QUOTES模式），规则也不同，你今天写的函数可能对MySQL有效，明天换了个数据库就全线崩溃，你确定你能考虑到所有特殊字符吗？这种“土法炼钢”的方式是万恶之源。

2. 在应用程序的代码层和数据库层之间反复横跳。 你可能在PHP里用addslashes，在Java里进行字符串替换，心想“我已经转义了，应该安全了”，但问题在于，转义的时机和位置不对，正确的转义应该由最终执行SQL的“客户端”（也就是你的数据库驱动库）在即将发送SQL到数据库之前完成，你在业务逻辑代码里过早地转义，可能会破坏数据的原始内容，或者因为层层转义导致最终存入数据库的内容变得乱七八糟，一个名字叫O‘Connor的人，经过你的函数可能就变成了O\\‘Connor，存进数据库就成了乱码。

3. 混淆了不同场景的“转义”。 除了防止SQL注入的转义，还有 LIKE 查询时的通配符转义，当你使用LIKE ‘%keyword%’进行模糊搜索时，用户输入如果包含百分号（%）或下划线（_），它们会被当成通配符，导致搜出大量不相关结果，这时候，你需要对这两个字符进行额外的转义，通常是在它们前面加一个特定的转义字符（比如反斜杠\），并告诉数据库ESCAPE ‘\’，很多人只防了SQL注入，却忘了这一茬，导致搜索功能异常。

那到底怎么搞才不会错？黄金法则在这里：

终极解决方案：使用参数化查询（Prepared Statements）

这是被所有专家反复强调、唯一被广泛认可为安全可靠的方案，它不是一种“转义”技术，而是一种从根本上杜绝问题的机制，它的工作原理是：

• 把SQL代码和用户数据分离开。 你先写一个SQL语句的“模板”，在这个模板里，所有需要填入用户数据的地方，用一个占位符（或者 :name）来代替。

• 示例： 不要写 "SELECT * FROM users WHERE name = '" + userName + "'"

• 而要写： "SELECT * FROM users WHERE name = ?"

• 将SQL模板和用户数据分开传递给数据库驱动。 驱动程序会负责将数据“安全地”合并到查询中，数据库引擎能清晰地分辨出哪些是指令（SQL代码），哪些是纯粹的数据，即使用户输入了‘ OR ‘1’=‘1这样的恶意字符串，数据库也只会把它当作一个普通的字符串值去查询名为‘ OR ‘1’=‘1的用户，而不会改变SQL语句的逻辑。

  

参数化查询的好处是巨大的：

• 绝对安全： 从根本上杜绝了SQL注入的可能性。
• 无需担心转义规则： 驱动程序和数据库会处理所有底层细节，你不用关心不同数据库的差异。
• 性能更好： 数据库可以对参数化查询的模板进行缓存和优化，多次执行同类查询时速度更快。

如果非得需要手动干预（比如动态构造复杂的LIKE查询），怎么办？

在某些极其特殊的场景下,你可能无法使用参数化查询（比如动态表名、列名，但这些情况本身也值得重新审视设计），或者你需要处理LIKE通配符，这时：

1. 使用你所用的编程语言框架或数据库驱动库自带的转义函数。 在PHP的PDO中有quote()方法，在Python的MySQLdb中有escape_string()（但更推荐使用参数化查询）。永远不要自己写转义函数，一定要用官方库提供的。 因为这些库的作者深知底层数据库的转义规则。

2. 对于LIKE模糊查询， 最好的实践是：

   • 仍然使用参数化查询传递主要的关键词。
   • 在将关键词填入LIKE模式字符串之前，先用数据库驱动提供的特定函数对关键词中的通配符进行转义。
   • 示例（伪代码）：
     • raw_keyword = user_input
     • escaped_keyword = db_driver.escape_like_wildcards(raw_keyword) // 这个函数会把 变成 \%， _ 变成 \_
     • sql = "SELECT ... WHERE name LIKE '%' + ? + '%'" // 这里?对应的参数是escaped_keyword

别再为“奇怪字符怎么转义”而头疼了，把这个复杂问题交给专业的工具去处理，你的第一选择、也是唯一应该牢记的选择就是：无条件使用参数化查询（Prepared Statements），这就像用电，你不必去搞清楚发电厂和变压器的原理，只要学会正确使用合格的插排和电器，就能安全享受电力，参数化查询就是你那个“合格的插排”，它能保证你的数据库操作既安全又省心，只有在参数化查询无法覆盖的极小众边缘案例中，才去考虑使用官方库提供的转义函数，并且要格外小心。