ASP.NET参数化模糊查询
ASP.NET参数化模糊查询
ASP.NET参数化模糊查询一、参数化查询的原理
在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有恶意的指令,由于已经编译完成,就不会被数据库所运行。 有部份的开发人员可能会认为使用参数化查询,会让程序更不好维护,或者在实现部份功能上会非常不便,然而,使用参数化查询造成的额外开发成本,通常都远低于因为SQL注入攻击漏洞被发现而遭受攻击,所造成的重大损失。
二、使用参数化SQL语句进行模糊查找的正确方法:
//定义sql语句
string sql = "SELECT StudentID,StudentNO,StudentName FROM Student WHERE StudentName like @StudentName";
//给参数赋值
paramList.AddWithValue("@StudentName", "%" + strStudentName+ "%"));
三、常见的错误写法
错误做法1
string sql = "SELECT StudentID,StudentNO,StudentName FROM Student WHERE StudentName like '%@StudentName%'";
paramList.AddWithValue("@StudentName", strStudentName));
错误做法2
string sql = "SELECT StudentID,StudentNO,StudentName FROM Student WHERE StudentName like %@StudentName%";
paramList.AddWithValue("@StudentName", strStudentName));
- ASP.NET将WORD、PDF、PPT转为图片
- ASP.NET中异常处理的注意事项
- ASP.NET如何获取上传图片的宽和高
- 2013-12-25
- asp.net文件下载的方法
- asp.net中split的用法
- ASP.NET cache缓存的用法
- ASP.NET中Partial Class部分类
- ASP.NET给图片加文字水印
- asp.net去除字符串中html标签
- ASP.NET泛型约束
- Asp.net操作Word文档
- ASP.NET的Random随机数
- ASP.NET常见面试题
- ASP.NET windows服务调试
- asp.net中使用ueditor
- 飞机引进工程师杨隆 匠人匠心,只争朝夕(飞机引进工程师杨隆)
- 三人行,她们是育人路上的 铁三角 团队(她们是育人路上的)
- 阴阳师 孟婆山兔CP不倒 新皮肤草稿 孟婆兔 让痒痒鼠点赞(阴阳师孟婆山兔CP不倒)
- 阴阳师孟婆御魂推荐 孟婆御魂搭配毕业套(阴阳师孟婆御魂推荐)
- 袁冰妍终于接到新剧,饰演反追男主,看到合作演员 眼光果然毒辣(袁冰妍终于接到新剧)
- 记忆中的台词(记忆中的台词)
热门推荐
- webpack打包后css路径(Webpack 中 css import 使用 alias 相对路径的方法)
- python最火开源项目(5月份Github上Python开源项目排行)
- web服务器架设步骤及流程(web服务器怎么配置?web服务器配置图文教程)
- thinkphp前后端配合(thinkPHP+LayUI 流加载实现功能)
- sql语句查询所有成绩(SQL查询排名函数实例)
- vue左右联动列表(vue+iview的菜单与页签的联动方式)
- dedecms 内容页模板(dedecms列表页与详情页调用tag标签的方法)
- sql语句计算年龄(sql通过日期判断年龄函数的示例代码)
- html网页设计排版布局(HTML利用九宫格原理进行网页布局)
- .net常见的内存泄露