使用LIKE
语句停止SQL注入的最佳方法是什么?因此,这里是代码的一个例子:SQL注入和LIKE语句
string search = Server.HTMLDecode(userEnteredSearchText);
SqlCommand comm = new SqlCommand("SELECT Result WHERE (Keyword LIKE '%" + @search + "%') "
comm.Parameters.Add(new SqlParameter("search", search));
这是我一直在做其他的SQL语句,它看起来像特殊字符,例如'
和%
不能打破这些陈述,但我猜带一个LIKE
声明你需要做一个退出键或什么?
[避免与使用参数,如操作SQL查询的SQL注入?]的可能重复(http://stackoverflow.com/questions/228476/avoiding-sql-injection-in-sql-query-with- like-operator-using-parameters) – oleksii