SQL语句里那些奇怪符号咋整，别让它们跑偏了查询结果

说到SQL语句里的那些奇怪符号，真是让不少人头疼，你本来想得好好的，一个简单的查询，结果就因为一个不起眼的单引号或者百分号，返回的结果要么是空的，要么是一大堆不想要的数据，甚至可能把数据库搞出问题，这些东西就像做菜时不小心掉进去的糖或者盐，放错了地方，整道菜的味道就全变了，咱们今天就不讲那些深奥的理论，就聊聊这些符号到底该怎么“整”，才能让它们老老实实干活,不给你添乱。

首先出场的是最常惹麻烦的“单引号”（‘’），在SQL里，单引号是用来包裹文本值的，比如你要找名字是“张三”的人，就得写成 WHERE name = ‘张三’，问题来了，万一你要查的名字里本身就带单引号呢？比如法国人的名字像“O‘Connor”这样的，这时候，如果你直接写 WHERE name = ‘O'Connor’，数据库就懵了，它会认为第一个单引号是开始，第二个单引号就结束了，剩下的“Connor’”就成了它看不懂的垃圾字符,肯定会报错。

那咋办呢？办法很简单，转义”，听起来有点专业，其实操作不复杂，就是把名字里自带的那个单引号，用两个单引号来表示，也就是说，你把查询写成 WHERE name = ‘O''Connor’，这样数据库就知道，中间那两个紧挨着的单引号不代表文本的结束，而是代表一个真正的单引号字符本身，这个方法在大多数数据库里都通用，算是个标准做法，有些数据库也支持用反斜杠（\）来转义，比如写成 ‘O\'Connor’，但这个不是所有系统都认，所以用两个单引号是最保险的。（来源：常见SQL语法入门指南）

接下来是模糊查询时离不开的“百分号”（%）和“下划线”（），这两个是通配符，百分号代表任意长度的任意字符（包括零个字符），下划线代表单个任意字符。LIKE ‘张%’ 能找出所有姓张的人；`LIKE ‘张’` 就只能找出姓张且名字是单个字的人，张三”，但找不出“张三丰”。

它们的麻烦在于，有时候你想找的文本里，本身就含有百分号或者下划线，你要从一个表格里找出所有备注信息里包含“完成50%”的记录，如果你直接写 WHERE notes LIKE ‘%完成50%%’，数据库会把最后一个百分号当成通配符，它会找出所有以“完成50”开头，后面跟着任何字符的记录，完成50个任务”、“完成50米跑”,这显然不是你想要的结果。

对付它们，也需要转义，但转义的方式因数据库而异，比如在MySQL里，默认的转义字符是反斜杠（\），所以你可以写成 WHERE notes LIKE ‘%完成50\%%’ ESCAPE ‘\’，这里的 ESCAPE ‘\’ 是明确告诉数据库，紧跟在反斜杠后面的百分号不是通配符，就是普通的百分号，在SQL Server里，你可以用方括号把通配符包起来，写成 WHERE notes LIKE ‘%完成50[%]%’，用的时候得查一下你用的数据库具体支持哪种方式。（来源：各数据库管理系统（如MySQL, SQL Server）官方文档关于LIKE操作符的说明）

然后说说“引号”本身，刚才说了单引号包文本，那如果字段名或者表名和数据库的保留关键字冲突了怎么办？比如你有个表名字就叫“order”（订单），但“ORDER”在SQL里是用于排序的关键字，直接写 SELECT * FROM order 肯定会报错，这时候就需要用“反引号”（）、或者“双引号”（“”）或者“方括号”（[]）来把名字包起来，具体用哪种，也看数据库的脾气，在MySQL里常用反引号，写成SELECT FROM order``，在SQL Server和Access里常用方括号，写成SELECT FROM [order]，而如果数据库设置成了标准SQL模式，可能支持用双引号，写成SELECT * FROM “order”`，用错了符号，数据库就不认识你的表名了。（来源：数据库系统关于标识符引用的说明）

不能不提的是“分号”（;），在大多数SQL语句里，分号是用来分隔不同语句的，告诉数据库“我这句话说完了”，但在一些场合，比如在存储过程或者动态SQL里面，可能一条指令很长，会包含多条语句，这时候分号就变得很关键，更常见的问题是，在Web开发中，如果用户输入里包含了分号，再和你的SQL字符串拼接起来，就可能被黑客利用来进行“SQL注入攻击”，比如他们可能输入一个用户名是 ‘ OR ‘1’=’1’; DROP TABLE users; --，如果你的程序不做处理，直接拼到SQL里，后果就很严重了，永远不要直接拼接用户输入到SQL语句中，而应该使用“参数化查询”或“预处理语句”，这才是从根本上解决问题的方法，让这些特殊符号彻底失去“兴风作浪”的能力。（来源：OWASP基金会关于SQL注入攻击与防护的指南）

这些奇怪符号本身并不可怕，它们各有各的用处，关键是要知道它们在什么情况下会“跑偏”，然后根据你使用的具体数据库，学会正确地“转义”或者“引用”它们，或者更高级地，使用参数化查询来一劳永逸，平时多留心，写的时候多测试,就能避免很多莫名其妙的查询结果了。