作者热门文章
- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
我需要实现一个搜索,用户可以在其中输入 * 作为通配符。他们正在搜索的数据库是一个 SQL 服务器。我正在考虑将 * 替换为 %:
userInput = userInput.replace('*', '%');
我担心因为我是“手动”执行此操作,所以我可能会引入一些错误或安全漏洞。你看到这样做有什么问题吗?有图书馆可以帮我做这件事吗?
我使用 Hibernate 作为 ORM 映射器和 Criteria API 来创建查询,如果它有助于回答的话。
最佳答案
这正是我们公司所做的。我们有两种产品,一种像您的示例一样在代码中使用简单的替换。另一个存储过程非常繁重的过程是在“搜索”存储过程本身中进行的。
无论哪种方式,我们都没有遇到过任何安全问题或用户对该系统的投诉。
只是为了显示存储过程的布局,但正如您所说的使用 ORM 可能是多余的:
CREATE PROC [dbo].[p_aaa]
@username nvarchar(100) = 'dbo',
@rows int = 0,
@name nvarchar(100) = '%'
AS
SET @name = REPLACE(@name, '*', '%')
关于java - 如何在 SQL 查询中安全地使用 * 作为通配符,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11947270/
我是一名优秀的程序员,十分优秀!