P粉7225212042023-08-23 09:18:33
名前付きパラメーターを使用している場合は、MySQL データベース :
WHERE column_name LIKE CONCAT('%', :dangerousstring, '%')
で
LIKE を使用して
% 部分一致を行う方法を説明します。
名前付きパラメータは :dangerousstring
です。
つまり、ユーザー入力とは別に、明示的にエスケープされていない %
シンボルをクエリ内で使用します。
編集: Oracle Database の場合、結合構文は結合演算子 ||
を使用するため、次のように簡略化されます:
ただし、@bobince が here で言及したように、いくつかの注意点があります:
したがって、like とパラメータ化を組み合わせるときに注意すべき点が他にもあります。