sql模糊匹配中%、_的处理

本文转载自查看原文 2016-09-05 22:15 2035 C#

防sql注入之模糊匹配中%、_处理：

 　　　　　　　StringBuilder sbSql = new StringBuilder();
             sbSql.Append(@"SELECT * from tablename t where 1 = 1 ");     
             string name = dictparameters["Name"].ToString();    //Name参数值
                if(name.Contains("%") || name.Contains("_"))
                {
                    name = name.Replace("%", "/%").Replace("_", "/_");
                    sbSql.AppendFormat(@" AND t.Name like '%{0}%' ESCAPE '/'", name);
                }
                else
                {
                    sbSql.AppendFormat(@" AND t.Name like '%{0}%'", name);
                }

上述采用的是拼接字符串，现改为参数化，防止sql注入：

　　　　　　　StringBuilder sbSql = new StringBuilder();
            sbSql.Append(@"SELECT * from tablename t where 1 = 1 ");
            string name = dictparameters["Name"].ToString();    //Name参数值
            if (name.Contains("%") || name.Contains("_"))
            {
                name = name.Replace("%", "/%").Replace("_", "/_");
                sbSql.Append(@" AND t.Name like '%' + @Name+ '%' + ESCAPE '/'");
            }
            else
            {
                sbSql.Append(@" AND t.Name like '%' + @Name+ '%'");
            }

免责声明！

本站转载的文章为个人学习借鉴使用，本站对版权不负任何法律责任。如果侵犯了您的隐私权益，请联系本站邮箱yoyou2525@163.com删除。

猜您在找 thinkphp中的多字段模糊匹配 oracle两表中的两列进行模糊匹配的方法 C#中拼音模糊匹配汉字智能搜索在JDBC中实现SQL语句的模糊查询 sql server模糊查询中括号“[]” scala (8) 模糊匹配模糊匹配算法 Redis 模糊匹配 SearchKeys grep是模糊匹配 hive正则模糊匹配