패턴 일치를 위해 SQL의 LIKE 문과 함께 매개변수를 사용할 수 있습니까?

SQL에서 매개변수 및 LIKE 문을 사용하는 방법

SQL에서 LIKE 문을 사용하면 문자열 내에서 패턴 일치를 수행할 수 있습니다. 그러나 적절한 예방 조치 없이 이를 사용하면 SQL 주입 공격이 발생할 수 있습니다. 이러한 공격을 방지하기 위해 매개변수화된 쿼리를 사용할 수 있습니다.

원래 질문

SQL 주입 취약점을 제한하기 위해 매개변수를 사용하여 다음 쿼리를 구성했습니다.

SELECT * FROM compliance_corner WHERE (body LIKE '%@query%') OR (title LIKE '%@query%')

그러나 이 쿼리를 프로그램에서 실행하면 결과가 나오지 않습니다. 매개변수를 이 방식으로 사용할 수 있습니까, 아니면 다음과 같은 상황에만 적용할 수 있습니까?

SELECT * FROM compliance_corner WHERE body LIKE '%<string>%'

해결책

매개변수는 의도한 대로 LIKE 문에서 사용할 수 있습니다. . 원래 쿼리의 구문이 잘못되었습니다. 이 시나리오에서 매개변수를 사용하는 올바른 방법은 다음과 같습니다.

Dim cmd As New SqlCommand(
    "SELECT * FROM compliance_corner" _
    + " WHERE (body LIKE @query )" _
    + " OR (title LIKE @query)")

cmd.Parameters.Add("@query", "%" & searchString & "%")

이 쿼리는 본문 또는 제목 필드 내에 검색 문자열이 포함된 문자열과 정확하게 일치합니다.

VB. NET 고려 사항

제공된 솔루션은 구문상 VB.NET에 적합합니다. 그러나 실제 구현은 사용되는 특정 데이터베이스 공급자 및 연결 방법에 따라 달라질 수 있습니다. 자세한 지침은 해당 문서를 참조하세요.

위 내용은 패턴 일치를 위해 SQL의 LIKE 문과 함께 매개변수를 사용할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!