码迷,mamicode.com
首页 > 数据库 > 详细

C# sql语句拼接时 like情况的防sql注入的用法

时间:2014-09-04 18:58:59      阅读:189      评论:0      收藏:0      [点我收藏+]

标签:style   blog   color   ar   div   问题   sp   log   c   

  今天下午同事问我一个比较基础的问题,在拼接sql语句的时候,如果遇到Like的情况该怎么办。

  我原来的写法就是简单的拼接字符串,后来同事问我如果遇到sql注入怎么办。我想了下,这确实是个问题。

  刚在网上找了下相关的说明,原来是这样写的。

  如这样一个sql语句:

  

select * from game where gamename like %张三%

 

  用c#表示的话:

            string keywords = "张三";
            StringBuilder strSql=new StringBuilder();
            strSql.Append("select * from game where gamename like @keywords");

            SqlParameter[] parameters=new SqlParameter[]
            {
                new SqlParameter("@keywords","%"+keywords+"%"), 
            };

这里虽然采用了仍然是用% 来写,但是可以有效过滤sql注入的情况,还是挺简单实用。

 

是个小知识点,希望对你能有所帮助! ^_^

C# sql语句拼接时 like情况的防sql注入的用法

标签:style   blog   color   ar   div   问题   sp   log   c   

原文地址:http://www.cnblogs.com/woaic/p/csharp_SqlParameter_like.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!