SELECT * FROM供应商where supplier_name like’%’name%’;
试图避免sql注入问题,并参数化这一点,但我不太清楚这将如何完成.有什么建议么 ?
注意,我需要一个经典的ADO.NET的解决方案 – 我没有真正的将此代码切换到类似LINQ的事情.
var query = "select * from foo where name like @searchterm"; using (var command = new sqlCommand(query,connection)) { command.Parameters.AddWithValue("@searchterm",String.Format("%{0}%",searchTerm)); var result = command.ExecuteReader(); }
该框架将自动处理引用问题.