使用like和％的SQL錯誤

Question

我的腳本被設計用來遍歷環境，點擊數據庫並檢查是否有任何名/姓組合具有關聯的用戶ID。我不知道爲什麼我得到下面列出的錯誤。

#/bin/bash 

#specify user to search for *******DO NOT PUT SPACE, ie. jaylefler 
echo "Please enter user first name: " 
read first_name 

echo "Please enter user last name: " 
read last_name 

echo "Please enter LDAP User ID: " 
read ldapuser 

echo "Please enter LDAP password: " 

stty -echo 

read ldappw 

stty echo 
#logs to write output to 
log="ui_${username}_access.log" 
finallog="${username}_ui_access.txt" 

#create file if not exist, else null it 
[[ -f ${log} ]] && cat /dev/null > ${log} || touch ${log} 
[[ -f ${finallog} ]] && cat /dev/null > ${finallog} || touch ${log} 

#log it all 
{ 

echo "environment" 
sshpass -p $ldappw ssh $ldapuser@54.123.777.567 'mysql -h host -u user - ppassword database -e \ 
"select user_id from users where first like "%'${first_name}'%" and last like "%'${last_name}'%";"' 


} > $log 

當我執行該腳本，我收到以下錯誤：

Please enter user first name: 
jay 
Please enter user last name: 
lefler 
Please enter LDAP User ID: 
jlefler 
Please enter LDAP password: 
ERROR 1064 (42000) at line 1: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '%jay% and last like %lefler%' at line 1 
jlefler@ubuntu:~/Desktop$ 

Answer 1

我沒那麼熟悉這種類型的腳本，但它似乎對我來說％左右傑伊％和％lefler％，以便SQL作爲在那裏出現將需要語錄：

select user_id from users where first like '%jay%' and last like '%lefler%'; 

Answer 2

在你的代碼的主要問題是引號的百分號內。 :)

第二個問題是您創建了一些易受SQL注入攻擊的內容。我完全不知道如何從Bash腳本創建綁定參數，但你需要弄清楚！

Answer 3

查詢到MySQL應該輸出是這樣的：

SELECT * FROM pet WHERE name LIKE '%w%'; 

在bash的並置的方式之一是如下：

mystring="some ${string1} arbitrary ${string2} text" 

編輯： 所以結合所有另外做一些事情來擴展''內的字符串。問題是shell無法在單引號之間擴展字符串。 像這樣的東西應該工作：

CommandFinale=$($sqlCommand -e "select user_id from users where first like '%${first_name}%' and last like '%${last_name}%';") 

然後在你的連接鏈使用變量CommandFinale。

我沒有蜜蜂能夠測試它，但它應該是這樣或非常相似。