在写程序的时候,需要用户输入一个名称,然后到数据库内检索数据,比如输入test,程序就会向数据库内检索,select * from t where columnName like '%test';但是如果test为%的话,就会检索出所有的数据。这样会有安全性问题。而且或者用户输入了test'的话,引号会不匹配,导致查询失败。请问下有什么方法,保证查询成功吗?
...全文
6982打赏收藏
C# SQL查询防注入,对于特殊字符的处理
在写程序的时候,需要用户输入一个名称,然后到数据库内检索数据,比如输入test,程序就会向数据库内检索,select * from t where columnName like '%test';但是如果test为%的话,就会检索出所有的数据。这样会有安全性问题。而且或者用户输入了test'的话,引号会不匹配,导致查询失败。请问下有什么方法,保证查询成功吗?