C#使用帶like的sql語句時防sql註入的方法
阿新 • • 發佈:2017-11-13
param 模擬實現 數據庫 img weight sin play www arp
C#使用帶like的sql語句時防sql註入的方法
本文地址: http://www.paobuke.com/develop/c-develop/pbk23555.html
算法練習之從String.indexOf的模擬實現開始c#中Empty()和DefalutIfEmpty()用法分析C#中String類常用方法匯總C#設置MDI子窗體只能彈出一個的方法
本文實例敘述了在拼接sql語句的時候,如果遇到Like的情況該怎麽辦。
一般采用帶like的SQL語句進行簡單的拼接字符串時,需要開率遇到sql註入的情況。這確實是個需要註意的問題。
這裏結合一些查閱的資料做了初步的整理。
如這樣一個sql語句:
select * from game where gamename like ‘%張三%‘
用c#表示的話:
string keywords = "張三"; StringBuilder strSql=new StringBuilder(); strSql.Append("select * from game where gamename like @keywords"); SqlParameter[] parameters=new SqlParameter[] { new SqlParameter("@keywords","%"+keywords+"%"), };
這裏雖然采用了仍然是用% 來寫,但是可以有效過濾sql註入的情況,還是挺簡單實用。
相信本文所述對大家構建更安全的C#數據庫程序有一定的借鑒作用。
除聲明外,跑步客文章均為原創,轉載請以鏈接形式標明本文地址C#使用帶like的sql語句時防sql註入的方法
本文地址: http://www.paobuke.com/develop/c-develop/pbk23555.html
相關內容
C#使用FileSystemWatcher控件實現的文件監控功能示例WPF中引入WindowsForms控件的方法C#判斷字符編碼的方法總結(六種方法)C#中的Timer和DispatcherTimer使用實例C#使用帶like的sql語句時防sql註入的方法