like 语句后参数不够安全如何安全过滤？

在 mysql 查询中使用 like 语句时，如果后跟的参数直接拼接，可能会导致 sql 注入攻击。因此，需要对特殊字符（如 % 和 _）进行过滤处理以确保查询的安全性。

过滤方法

要过滤 % 和 _ 字符，可以使用 concat() 函数。concat() 函数可以将多个字符串连接在一起，从而可以将特殊字符放置在参数中安全的位置。

示例代码

假设我们要查询项目名为 "项目_好" 的所有项目。我们可以使用以下经过过滤的 like 语句：

WHERE project LIKE CONCAT('%', '%_好的', '%')

在这个例子中，我们使用 concat() 函数将 % 字符和 _ 字符添加到参数中，从而避免了 sql 注入攻击的可能性。