搜索 – 使用参数使用Like操作符在SQL查询中避免SQL注入?
发布时间:2020-12-12 16:30:54 所属栏目:MsSql教程 来源:网络整理
导读:接管我的前任的一些代码,我发现一个使用Like运算符的查询: SELECT * FROM供应商 where supplier_name like’%’name%’; 试图避免SQL注入问题,并参数化这一点,但我不太清楚这将如何完成.有什么建议么 ? 注意,我需要一个经典的ADO.NET的解决方案 – 我没有
|
接管我的前任的一些代码,我发现一个使用Like运算符的查询:
SELECT * FROM供应商 试图避免SQL注入问题,并参数化这一点,但我不太清楚这将如何完成.有什么建议么 ? 注意,我需要一个经典的ADO.NET的解决方案 – 我没有真正的将此代码切换到类似LINQ的事情. 解决方法尝试这个:var query = "select * from foo where name like @searchterm";
using (var command = new SqlCommand(query,connection))
{
command.Parameters.AddWithValue("@searchterm",String.Format("%{0}%",searchTerm));
var result = command.ExecuteReader();
}
该框架将自动处理引用问题. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |