C# sql语句拼接时 like情况的防sql注入的用法
2014-09-04 18:05
513 查看
今天下午同事问我一个比较基础的问题,在拼接sql语句的时候,如果遇到Like的情况该怎么办。
我原来的写法就是简单的拼接字符串,后来同事问我如果遇到sql注入怎么办。我想了下,这确实是个问题。
刚在网上找了下相关的说明,原来是这样写的。
如这样一个sql语句:
用c#表示的话:
这里虽然采用了仍然是用% 来写,但是可以有效过滤sql注入的情况,还是挺简单实用。
是个小知识点,希望对你能有所帮助! ^_^
我原来的写法就是简单的拼接字符串,后来同事问我如果遇到sql注入怎么办。我想了下,这确实是个问题。
刚在网上找了下相关的说明,原来是这样写的。
如这样一个sql语句:
select * from game where gamename like '%张三%'
用c#表示的话:
string keywords = "张三"; StringBuilder strSql=new StringBuilder(); strSql.Append("select * from game where gamename like @keywords"); SqlParameter[] parameters=new SqlParameter[] { new SqlParameter("@keywords","%"+keywords+"%"), };
这里虽然采用了仍然是用% 来写,但是可以有效过滤sql注入的情况,还是挺简单实用。
是个小知识点,希望对你能有所帮助! ^_^
相关文章推荐
- C# sql语句拼接时 like情况的防sql注入的用法
- C#拼接SQL语句,SQL Server 2005+,多行多列大数据量情况下,使用ROW_NUMBER实现的高效分页排序
- SQL语句 SELECT LIKE like用法详解
- C# 参数化SQL语句中的like和in
- sql语句like的用法
- sql语句like的用法
- 数据库SQL语句 SELECT LIKE like用法详解
- C#中操作Oracle时的SQL语句参数的用法
- C# WPF 快速开发21拼接复合搜索的SQL语句
- C#调用SQL语句时乘号的用法
- sql语句like的用法
- sql语句where子句like的用法详解
- SQL语句 SELECT LIKE like用法详解
- sql语句like的用法 有些正则表达式可以通过like实现
- C#使用带like的sql语句时防sql注入的方法
- C#sql like语句一种正确传参方法
- SQL语句 SELECT LIKE like用法详解
- SQL语句 SELECT LIKE like用法详解
- 数据库SQL语句 SELECT LIKE like用法详解
- SQL语句 like 的用法