前端之家收集整理的这篇文章主要介绍了
搜索 – 使用参数使用Like操作符在SQL查询中避免SQL注入?,
前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
接管我的前任的一些
代码,我发现一个使用Like运算符的
查询:
SELECT * FROM供应商
where supplier_name like’%’name%’;
试图避免sql注入问题,并参数化这一点,但我不太清楚这将如何完成.有什么建议么 ?
注意,我需要一个经典的ADO.NET的解决方案 – 我没有真正的将此代码切换到类似LINQ的事情.
尝试这个:
var query = "select * from foo where name like @searchterm";
using (var command = new sqlCommand(query,connection))
{
command.Parameters.AddWithValue("@searchterm",String.Format("%{0}%",searchTerm));
var result = command.ExecuteReader();
}
该框架将自动处理引用问题.
原文链接:https://www.f2er.com/mssql/82450.html
