gpt4 book ai didi

asp.net - 如何?参数和LIKE语句SQL

转载 作者:行者123 更新时间:2023-12-03 05:14:49 25 4
gpt4 key购买 nike

我正在编写一个搜索函数,并想到了使用参数来防止或至少限制 SQL 注入(inject)攻击的这个查询。但是,当我通过程序运行它时,它不会返回任何内容:

SELECT * FROM compliance_corner WHERE (body LIKE '%@query%') OR (title LIKE '%@query%')

参数可以这样用吗?或者它们仅在以下情况下有效:

SELECT * FROM compliance_corner WHERE body LIKE '%<string>%' (其中 <string> 是搜索对象)。

编辑:我正在使用 VB.NET 构建此函数,这对你们贡献的语法有影响吗?

此外,我在 SQL Server 中运行了此语句:SELECT * FROM compliance_corner WHERE (body LIKE '%max%') OR (title LIKE %max%')` 并返回结果。

最佳答案

好吧,我会选择:

 Dim cmd as New SqlCommand(
"SELECT * FROM compliance_corner"_
+ " WHERE (body LIKE @query )"_
+ " OR (title LIKE @query)")

cmd.Parameters.Add("@query", "%" +searchString +"%")

关于asp.net - 如何?参数和LIKE语句SQL,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/251276/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com