我正在编写一个搜索函数,并且已经想到了使用参数来防止或至少限制 SQL 注入攻击的这个查询。但是,当我通过我的程序运行它时,它不会返回任何内容:
SELECT * FROM compliance_corner WHERE (body LIKE '%@query%') OR (title LIKE '%@query%')
可以这样使用参数吗?还是它们仅在以下情况下有效:
SELECT * FROM compliance_corner WHERE body LIKE '%<string>%'(其中<string> 是搜索对象)。
编辑:我正在用 VB.NET 构建这个函数,这对你们贡献的语法有影响吗?
另外,我在 SQL Server 中运行了这个语句:SELECT * FROM compliance_corner WHERE (body LIKE '%max%') OR (title LIKE%max%')` 并返回结果。
【问题讨论】:
好吧,我会选择:
Dim cmd as New SqlCommand(
"SELECT * FROM compliance_corner"_
+ " WHERE (body LIKE @query )"_
+ " OR (title LIKE @query)")
cmd.Parameters.Add("@query", "%" +searchString +"%")
【讨论】:
cmd.Parameters.Add 变成cmdLoad.Parameters.AddWithValue 还是有什么问题?我知道詹姆斯的回答是从 2008 年开始的 :)
您的 Visual Basic 代码如下所示:
Dim cmd as New SqlCommand("SELECT * FROM compliance_corner WHERE (body LIKE '%' + @query + '%') OR (title LIKE '%' + @query + '%')")
cmd.Parameters.Add("@query", searchString)
【讨论】:
SQL注入,只开放LIKE注入。这意味着用户可以输入特殊字符,例如% ^ 和_,LIKE 将对其进行特殊解释。这意味着用户可能无法获得他们对某些搜索的期望。例如,搜索'less than 1% fat' 可能会返回结果'less than 1% of doctors recommend this - it's full of fat!'。
searchString.Replace("[","[[]").Replace("%","[%]").Replace("_","[_]"),这样可以避免 LIKE 注入(只要您不使用转义子句)。
你必须做的:
LIKE '%' + @param + '%'
【讨论】:
您可能必须将 % 符号与您的参数连接起来,例如:
喜欢'%' || @查询 || '%'
编辑: 实际上,这可能根本没有任何意义。我想我可能误解了你的问题。
【讨论】:
有时,从 VB 执行查询与从 MS SQL / Access 执行查询时,用作占位符 % 的符号不同。尝试将占位符符号从 % 更改为 *。这可能行得通。
但是,如果您调试并希望直接在 MS SQL 或 Access 中复制您的 SQL 字符串来测试它,您可能必须在 MS SQL 或 Access 中将符号更改回 % 才能实际返回值。
希望对你有帮助
【讨论】:
也试试这个方法
Dim cmd as New SqlCommand("SELECT * FROM compliance_corner WHERE (body LIKE CONCAT('%',@query,'%') OR title LIKE CONCAT('%',@query,'%') )")
cmd.Parameters.Add("@query", searchString)
cmd.ExecuteNonQuery()
使用 Concat 代替 +
【讨论】: