C#使用帶like的sql語句時防sql注入的方法

標籤：height   技術分享   plugin   class   count   normal   size   ext   mdi   

本文執行個體敘述了在拼接sql語句的時候，如果遇到Like的情況該怎麼辦。

一般採用帶like的SQL語句進行簡單的拼接字串時，需要開率遇到sql注入的情況。這確實是個需要注意的問題。

這裡結合一些查閱的資料做了初步的整理。

如這樣一個sql語句：

select * from game where gamename like ‘%張三%‘

用c#表示的話：

string keywords = "張三";StringBuilder strSql=new StringBuilder();strSql.Append("select * from game where gamename like @keywords");SqlParameter[] parameters=new SqlParameter[]{ new SqlParameter("@keywords","%"+keywords+"%"),};

這裡雖然採用了仍然是用% 來寫，但是可以有效過濾sql注入的情況，還是挺簡單實用。

相信本文所述對大家構建更安全的C#資料庫程式有一定的借鑒作用。

除聲明外， 跑步客文章均為原創，轉載請以連結形式標明本文地址
  C#使用帶like的sql語句時防sql注入的方法

本文地址:  http://www.paobuke.com/develop/c-develop/pbk23555.html

相關內容C#使用FileSystemWatcher控制項實現的檔案監控功能樣本WPF中引入WindowsForms控制項的方法C#判斷字元編碼的方法總結(六種方法)C#中的Timer和DispatcherTimer使用執行個體
演算法練習之從String.indexOf的類比實現開始c#中Empty()和DefalutIfEmpty()用法分析C#中String類常用方法匯總C#設定MDI子表單只能彈出一個的方法

C#使用帶like的sql語句時防sql注入的方法