Oracle Text: как очистить пользовательский ввод

Экранируйте все специальные символы с помощью обратной косой черты. Фигурные скобки не будут работать с поиском подстроки, поскольку они определяют полные токены. Например, %{ello}% не будет соответствовать токену "Hello"

Символы экранированного пробела будут включены в токен поиска, поэтому строка поиска «%stay\ near\ me%» будет рассматриваться как буквальная строка «Stay Near Me» и не будет вызывать оператор «near».

Если вы индексируете короткие строки (такие как имена и т. д.) и хотите, чтобы Oracle Text вел себя точно так же, как оператор like, вы должны написать свой собственный лексер, который не будет создавать токены для отдельных слов. (К сожалению, CATSEARCH не поддерживает поиск подстроки...)

Вероятно, было бы неплохо изменить поиск, чтобы использовать семантику текста оракула с сопоставлением токенов, но для некоторых приложений подстановочное расширение нескольких (коротких) токенов и числовых токенов создаст слишком много совпадений для строк поиска, которые пользователи разумно могли бы использовать. рассчитывайте на работу.

Например, поиск «%I\AM\NUMBER\9%», скорее всего, завершится неудачно, если в проиндексированных данных много числовых токенов, поскольку необходимо искать все токены, оканчивающиеся на «I» и начинающиеся с «9». и объединены до того, как результат может быть возвращен.

«I» и «AM», вероятно, также находятся в стоп-листе по умолчанию и будут полностью игнорироваться, поэтому для этого гипотетического приложения можно использовать нулевой стоп-лист, если эти токены важны.

Использование PARAMETERS('STOPLIST ctxsys.empty_stoplist') при индексировании будет включать в индекс все алфавитные токены. Символы с диакритическими знаками также индексируются. Неалфавитные символы обычно обрабатываются BASIC_LEXER как пробелы.

Кроме того, грамматика CONTEXT использует множество операторов, включающих символы и зарезервированные слова, такие как WITHIN, NEAR, ABOUT. Все это должно быть каким-то образом экранировано во входных данных. Если вам нужно искать подстроки, правильным подходом к экранированию является экранирование всех символов с помощью \. Это ответ на связанный с этим вопрос здесь: Текст Oracle экранируется фигурными скобками и подстановочные знаки. Если вам нужно искать целые термины (имена и т. д.), вы можете использовать более простое экранирование {input}.

Забудьте о санитарной обработке. Почему? См. http://en.wikipedia.org/wiki/SQL_injection .

Это зависит от того, какой API интерфейса базы данных вы используете. Perl DBI, ODBC, JDBC поддерживают параметризованные запросы или подготовленные операторы. Если вы используете собственный DBI, и он его не поддерживает, благослови вас Бог.