Menggunakan Parameter dengan Pernyataan LIKE dalam SQL
Apabila membangunkan fungsi carian, adalah penting untuk meminimumkan potensi risiko keselamatan seperti serangan suntikan SQL. Satu pendekatan menggunakan parameter dalam pertanyaan SQL. Walau bagaimanapun, pengguna mungkin menghadapi masalah apabila menggunakan parameter dengan pernyataan LIKE.
Pertanyaan berikut menunjukkan penggunaan parameter yang dimaksudkan dalam pernyataan LIKE:
SELECT * FROM compliance_corner WHERE (body LIKE '%@query%') OR (title LIKE '%@query%')
Tetapi, pertanyaan ini tidak menghasilkan sebarang keputusan. Ini menimbulkan persoalan: adakah parameter boleh digunakan dalam konteks ini, atau adakah ia terhad, seperti yang dilihat dalam contoh ini?
SELECT * FROM compliance_corner WHERE body LIKE '%<string>%'
Selain itu, pengguna telah menyediakan pertanyaan alternatif yang mengembalikan hasil dalam SQL Server:
SELECT * FROM compliance_corner WHERE (body LIKE '%max%') OR (title LIKE%max%')
Untuk menggunakan parameter secara berkesan dengan pernyataan LIKE, disyorkan untuk merujuk coretan kod VB.NET di bawah:
Dim cmd as New SqlCommand( _
"SELECT * FROM compliance_corner" _
+ " WHERE (body LIKE @query )" _
+ " OR (title LIKE @query)")
cmd.Parameters.Add("@query", "%" +searchString +"%")Atas ialah kandungan terperinci Bolehkah Parameter SQL Digunakan Secara Berkesan dengan Pernyataan LIKE?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
