MSSQL 通用like参数化查询防注入
发现一个简单的参数化查询, sqlserver 防止搜索型注入以前是个头疼的问题,因为限与.net 参数化查询的机制,很不好处理这种情况,
呵呵 like 是很不好处理的,以前大批量的处理代码让我头疼,于是乎。。
'% 测试 %' 把'% 测试 %' 作为参数传入。一切问题解决。。。。。。原来搜索型参数化防注入,问题真的那么简单!
http://hi.baidu.com/isbx/blog/item/6a108b13328142dcf6039ecb.html
+展开
-C#
StringBuilder strSql=new StringBuilder();
strSql.Append("select WayId,WayName ");
strSql.Append(" FROM Way where WayName like @wayname");
return DbHelperSQL.Query(strSql.ToString());
strSql.Append("select WayId,WayName ");
strSql.Append(" FROM Way where WayName like @wayname");
return DbHelperSQL.Query(strSql.ToString());
呵呵 like 是很不好处理的,以前大批量的处理代码让我头疼,于是乎。。
'% 测试 %' 把'% 测试 %' 作为参数传入。一切问题解决。。。。。。原来搜索型参数化防注入,问题真的那么简单!
http://hi.baidu.com/isbx/blog/item/6a108b13328142dcf6039ecb.html
加支付宝好友偷能量挖...