2. 程式人生 > >C# sql語句拼接時 like情況的防sql注入的用法

C# sql語句拼接時 like情況的防sql注入的用法

阿新 發佈:2019-02-10
如這樣一個sql語句:
select * from game where gamename like '%張三%'

用c#表示的話:

 string keywords = "張三";
            StringBuilder strSql=new StringBuilder();
            strSql.Append("select * from game where gamename like @keywords");

            SqlParameter[] parameters=new SqlParameter[]
            {
                new SqlParameter("@keywords","%"+keywords+"%"), 
            };

這裡雖然採用了仍然是用% 來寫,但是可以有效過濾sql注入的情況,還是挺簡單實用。

是個小知識點,希望對你能有所幫助! ^_^

原文出處:https://www.cnblogs.com/woaic/p/csharp_SqlParameter_like.html

相關推薦

C# sql語句拼接 like情況sql注入用法

如這樣一個sql語句:select * from game where gamename like '%張三%' 用c#表示的話: string keywords = "張三"; StringBuilder strSql=new StringBuil

sql語句拼接,新增單引號

在編寫儲存過程的時候,遇到拼接字串需要加單引號,浪費了點時間,現在寫出來以備後用,(提醒自己別忘了這麼簡單的事) 變數定義時間型別的,定義為字串型別,例子如下: Create PROCEDURE dbo.Student (  @Level int,  @ClassName

javasql注入sql語句拼接工具sqlHandle

     我在做網站的時候有一個需要在不同的插入時間改變查詢的邏輯結構,這個時候用PreparedStatement就不太適合了靈活性太差。所以我就寫了一個sql拼接工具。它的原理是將sql語句段與值繫結在一起,然後在最後拼接的時候把值按順序傳人給PreparedSt

關於oracle sql語句查詢 表名和字段名要加雙引號的問題具體解釋

ont tin rac 作者 什麽 因此 tro 們的 reg 作為oracle的剛開始學習的人相信大家一定會遇到這個問題。如圖: 明明就是navicat可視化創建了表,但是就是不能查到!這個

mybatis-plus sql語句拼接

mybatis-plus可呼叫的方法: 查詢方式 說明 setSqlSelect 設定 SELECT 查詢欄位 where WHERE 語句,拼接 + WHERE 條件 and AND 語句,拼接 + AND 欄位=值 andNew AND 語句,

人家的Python資料庫連線類和sql語句拼接方法

原文出處: sql拼接方法 # encoding=utf-8 from django.http import HttpResponse from anyjson import serialize from django.http import HttpRespon

帝國CMS,使用sql語句查詢,有些欄位不顯示

使用sql查詢資料時,有些欄位不顯示,比如<?=$bqsr[classname]?>顯示為空,或者其他的。 [e:loop={'select classid,classpath,classname from [!db.pre!]enewsclass where

自己寫的Python資料庫連線類和sql語句拼接方法

這個工具類十分簡單和簡潔。 sql拼接方法 # encoding=utf-8 from django.http import HttpResponse from anyjson import serialize from django.http import HttpRespo

MyBatis 向Sql語句中動態傳引數·動態SQL拼接

在動態傳遞引數的時候,需要用到OGNL表示式,不懂的童鞋可以下去百度,這裡製作一個簡要的介紹 在向XML檔案傳遞引數的時候,需要用到sqlSession.selectList("Message.que

sql語句查詢is not null 的使用

我今天在兩個表關聯查詢時,發現效率極低,索引也加了,依然如此。 例如下面的查詢語句: select * from table_group a,table_member b where a.groupId=b.groupId; 就這麼一條語句,查200多萬條資料竟用了11秒

sql語句where子句like用法詳解

在SQL結構化查詢語言中,LIKE語句有著至關重要的作用。LIKE語句的語法格式是:select * from 表名 where 欄位名 like 對應值(子串),它主要是針對字元型欄位的,它的作用是在一個字元型欄位列中檢索包含對應子串的。 假設有一個數據庫中有個表tabl

iwebshop sql語句拼接

在iwebshop中實現這個SQL題,使用IQuery物件。 有一張成績表,例: 寫出最少有三門科目大於90分的學生的所有成績的SQL? select SUM(mark),name from student GROUP BYname HAVING count(mark&g

yii框架中findall方法取資料使用總結,包括select各種條件,where條件,order by條件,limit限制以及使用單純sql語句query佔位符的使用等

在yii框架中可以使用對映類的find方法取出一條資料或者用findall方法取出數條資料來,那麼如何按照所需條件來取資料呢,主要用到了CDbCriteria這個類,這個類是yii自帶的操作資料庫的支援類,可以作為引數傳遞給find等方法,這裡用findall做個例子:

elasticsearch搜尋中文分詞理解、類似SQL語句中的"LIKE”條件的模糊搜尋以及忽略大小寫搜尋

elasticsearch作為一款搜尋引擎,應用於資料庫無法承受前端的搜尋壓力時,採用其進行資料的搜尋。可以大併發架構設計中一種選擇,以下是elasticsearch搜尋引擎的部分規則,在實際應用中可以讓我們快速熟悉和幫助解決一些問題。01》不進行分詞的索引建立URL:es_

mybatis批量刪除的sql語句拼接

1。問題描述 在刪除一條語句時,有時候會關聯外來鍵,這時候批量刪除會大大的提高效率。 2。拼接語句 <!--批量刪除--> <!--DELETE FROM h

SQL語句 拼接兩行以上的行

表:Customer select Power, UserName= stuff( ( select ',' + UserName from Customer t where Power = t2.Power for xml path('') ) , 1

SQL注入例項:避免後端SQL語句拼接操作

1 例項-後端邏輯 以下是基於pymysql的一個例子: import pymysql conn = pymysql.connect(host='127.0.0.1', port=3306, user='root', passwd='mysql', db

Mybatis之SQL語句拼接

查詢條件提交到邏輯層後,由獲取到的sqlSession來執行配置檔案中的sql語句,格式: sqlSession.selectList("id", parameter); parameter可以是String,也可以是一個封裝了很多不同資料型的物件,但無

SQL語句拼接 最後一個字元多出 處理方式

String [] name=new String[]{"張三","李四","123","321"}; StringBuilder buffer=new StringBuilder("sel

檢視sql語句執行間或測試sql語句效能

寫程式的人,往往需要分析所寫的SQL語句是否已經優化過了,伺服器的響應時間有多快,這個時候就需要用到SQL的STATISTICS狀態值來查看了。     通過設定STATISTICS我們可以檢視執行SQL時的系統情況。選項有PROFILE,IO ,TIME。介紹如下: