Bolehkah Parameter Digunakan dengan Pernyataan LIKE dalam SQL untuk Padanan Corak?

Cara Menggunakan Parameter dan Pernyataan LIKE dalam SQL

Dalam SQL, pernyataan LIKE membolehkan anda melakukan padanan corak dalam rentetan. Walau bagaimanapun, menggunakannya tanpa langkah berjaga-jaga yang betul boleh membawa kepada serangan suntikan SQL. Untuk mengelakkan serangan sedemikian, pertanyaan berparameter boleh digunakan.

Soalan Asal

Dalam usaha untuk mengehadkan kelemahan suntikan SQL, pertanyaan berikut telah dibina menggunakan parameter:

SELECT * FROM compliance_corner WHERE (body LIKE '%@query%') OR (title LIKE '%@query%')

Walau bagaimanapun, melaksanakan pertanyaan ini dalam program tidak menghasilkan hasil. Bolehkah parameter digunakan dengan cara ini, atau adakah ia hanya terpakai dalam situasi seperti berikut:

SELECT * FROM compliance_corner WHERE body LIKE '%<string>%'

Penyelesaian

Parameter boleh digunakan dalam pernyataan LIKE seperti yang dimaksudkan . Sintaks dalam pertanyaan asal tidak betul. Berikut ialah cara yang betul untuk menggunakan parameter dalam senario ini:

Dim cmd As New SqlCommand(
    "SELECT * FROM compliance_corner" _
    + " WHERE (body LIKE @query )" _
    + " OR (title LIKE @query)")

cmd.Parameters.Add("@query", "%" & searchString & "%")

Pertanyaan ini akan memadankan dengan betul rentetan yang mengandungi rentetan carian dalam badan atau medan tajuk.

VB. Pertimbangan NET

Penyelesaian yang disediakan adalah betul dari segi sintaksis untuk VB.NET. Walau bagaimanapun, pelaksanaan sebenar mungkin berbeza bergantung pada pembekal pangkalan data khusus dan kaedah sambungan yang digunakan. Rujuk dokumentasi yang sesuai untuk panduan lanjut.

Atas ialah kandungan terperinci Bolehkah Parameter Digunakan dengan Pernyataan LIKE dalam SQL untuk Padanan Corak?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!