zoukankan html css js c++ java

sql模糊匹配中%、_的处理

防sql注入之模糊匹配中%、_处理：

 　　　　　　　StringBuilder sbSql = new StringBuilder();
             sbSql.Append(@"SELECT * from tablename t where 1 = 1 ");     
             string name = dictparameters["Name"].ToString();    //Name参数值
                if(name.Contains("%") || name.Contains("_"))
                {
                    name = name.Replace("%", "/%").Replace("_", "/_");
                    sbSql.AppendFormat(@" AND t.Name like '%{0}%' ESCAPE '/'", name);
                }
                else
                {
                    sbSql.AppendFormat(@" AND t.Name like '%{0}%'", name);
                }

上述采用的是拼接字符串，现改为参数化，防止sql注入：

　　　　　　　StringBuilder sbSql = new StringBuilder();
            sbSql.Append(@"SELECT * from tablename t where 1 = 1 ");
            string name = dictparameters["Name"].ToString();    //Name参数值
            if (name.Contains("%") || name.Contains("_"))
            {
                name = name.Replace("%", "/%").Replace("_", "/_");
                sbSql.Append(@" AND t.Name like '%' + @Name+ '%' + ESCAPE '/'");
            }
            else
            {
                sbSql.Append(@" AND t.Name like '%' + @Name+ '%'");
            }

查看全文

相关阅读:
精英讲师培训笔记12-即兴演讲如何与众不同
 精英讲师培训笔记11-上台演讲前
 精英讲师培训笔记10-上台演讲三技巧
 精英讲师培训笔记09-如何化解提问无人回答
 精英讲师培训笔记08-如何快速吸引学员注意力
 精英讲师培训笔记07-如何设计你的演讲，让更具吸引力
 精英讲师培训笔记06-学员不回答问题，课堂死气沉沉怎么办
 精英讲师培训笔记05-8个字搞定即兴演讲
 精英讲师培训笔记04-学员在玩手机、聊天、睡觉、走神怎么办？
编程生涯——追逐朝霞的日子

原文地址：https://www.cnblogs.com/guokun/p/5843865.html