就拿今天的日期来做标题吧。经过了几天的阴霰,终于在今年的最后一天清早太阳露出了它久违的笑脸,虽然温度还是和前几天差不多,但这样的天气起码会让人心情会莫名的好起来。站在阳台上,阳光温柔的照在偶的脸上,身上暖哄哄的,忽然觉得有种幸福感,还是偶太容易满足了?-__-
外面的小商铺们已经在放《新年好》的音乐了。过完了今天,明天就是新的一年了。时间是过的越来越快了,但愿明天能有一个好的开始,明年有一个好的开始……
<%image(20040407-java.png|100|134|Thinking in Java 3rd edition)%>
想到昨天写第一个 HelloWorld 偶就汗……
先是编译器没?对,找不到 javac。
然后是编译通过后 java Helloworld.class 运行不起来。汗,后来才知道运行的时候不用加后缀的。
今天偶尔去书店逛逛,本来没打算买书的,不过看到这本《Thinking in Java 3rd edition》就走不动了。呵呵。虽然偶已经有一本中文的第二版的了,不过这个是最新的,又是经典之作,偶看一眼就心动了。(汗……以后不能轻易去书店)中文译本还没有,只能买影印的。能啃一点算一点了。:P
<%image(20040314-123200_hFyyZHztCeih.gif|395|194|null)%>
真是寒啊~
如果不是 Babyken 的提醒,这个错误我想我还会一直犯下去。
事情起因,帮 Babyken 做了一个 0day 查询的脚本,脚本很简单,就是简单的取用户输入的值做 LIKE 操作查询数据库。做好后经测试一直运行很好。可是今天 Babyken 告诉我说有个BUG,输入 "___" 或 ".__" 等类似的关键字时,会把数据库中的所有记录都取出来。
偶又试了以前写过的几个应用,寒,都有这个问题。。。
看起来是SQL本身对LIKE的处理问题。问了几个朋友也都没有注意过。后来在Mysql手册上找到答案:
Char Description
% Matches any number of characters, even zero characters
_ Matches exactly one character
当时感觉就是汗啊~~ 以前怎么自己就没有注意过呢?
解决办法是把用户的输入中的 _ 和 % 转义。
不知道是只是Mysql有这个问题,还是其它数据也有。希望熟悉其它数据库应用的朋友试一下。
相关Mysql说明页面:http://www.mysql.com/doc/en/String_comparison_functions.html
2004年1月16日22时25分补记:
与xdanger探讨后发现,目前网上大部分的PHP+Mysql程序都存在此BUG,IPB和PHPBB也不例外,VBB中被过滤掉了。看起来这应该是一个值得引起重视的问题了。
