C# sql语句拼接时like情况的防sql注入的用法 - 网站

  今天下午同事问我一个比较基础的问题，在拼接sql语句的时候，如果遇到Like的情况该怎么办。

我原来的写法就是简单的拼接字符串，后来同事问我如果遇到sql注入怎么办。我想了下，这确实是个问题。

刚在网上找了下相关的说明，原来是这样写的。

如这样一个sql语句：

select * from game where gamename like '%张三%'

用 c# 表示的话：

string keywords = "张三"; StringBuilder strSql=new StringBuilder(); strSql.Append("select * from game where gamename like @keywords"); SqlParameter[] parameters=new SqlParameter[] { new SqlParameter("@keywords","%"+keywords+"%"), };

这里虽然采用了仍然是用% 来写，但是可以有效过滤sql注入的情况，还是挺简单实用。

是个小知识点，希望对你能有所帮助! ^_^

​

查看更多关于C# sql语句拼接时like情况的防sql注入的用法 - 网站的详细内容...