1. 程式人生 > >C#使用帶like的sql語句時防sql註入的方法

C#使用帶like的sql語句時防sql註入的方法

param 模擬實現 數據庫 img weight sin play www arp

本文實例敘述了在拼接sql語句的時候,如果遇到Like的情況該怎麽辦。

一般采用帶like的SQL語句進行簡單的拼接字符串時,需要開率遇到sql註入的情況。這確實是個需要註意的問題。

這裏結合一些查閱的資料做了初步的整理。

如這樣一個sql語句:

select * from game where gamename like ‘%張三%‘

用c#表示的話:

string keywords = "張三";
StringBuilder strSql=new StringBuilder();
strSql.Append("select * from game where gamename like @keywords");
SqlParameter[] parameters=new SqlParameter[]
{
 new SqlParameter("@keywords","%"+keywords+"%"),
};

這裏雖然采用了仍然是用% 來寫,但是可以有效過濾sql註入的情況,還是挺簡單實用。

相信本文所述對大家構建更安全的C#數據庫程序有一定的借鑒作用。

除聲明外,跑步客文章均為原創,轉載請以鏈接形式標明本文地址
C#使用帶like的sql語句時防sql註入的方法

本文地址: http://www.paobuke.com/develop/c-develop/pbk23555.html






相關內容

技術分享C#使用FileSystemWatcher控件實現的文件監控功能示例技術分享WPF中引入WindowsForms控件的方法技術分享C#判斷字符編碼的方法總結(六種方法)技術分享C#中的Timer和DispatcherTimer使用實例
技術分享
算法練習之從String.indexOf的模擬實現開始技術分享c#中Empty()和DefalutIfEmpty()用法分析技術分享C#中String類常用方法匯總技術分享C#設置MDI子窗體只能彈出一個的方法

C#使用帶like的sql語句時防sql註入的方法