搜索 – 使用参数使用Like操作符在SQL查询中避免SQL注入?

前端之家收集整理的这篇文章主要介绍了搜索 – 使用参数使用Like操作符在SQL查询中避免SQL注入?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
接管我的前任的一些代码,我发现一个使用Like运算符的查询

SELECT * FROM供应商
where supplier_name like’%’name%’;

试图避免sql注入问题,并参数化这一点,但我不太清楚这将如何完成.有什么建议么 ?

注意,我需要一个经典的ADO.NET的解决方案 – 我没有真正的将此代码切换到类似LINQ的事情.

解决方法

尝试这个:
var query = "select * from foo where name like @searchterm";
using (var command = new sqlCommand(query,connection))
{
  command.Parameters.AddWithValue("@searchterm",String.Format("%{0}%",searchTerm));
  var result = command.ExecuteReader();
}

该框架将自动处理引用问题.

猜你在找的MsSQL相关文章