주입 공격을 방지하기 위해 SQL의 LIKE 문과 함께 매개 변수를 안전하게 사용하려면 어떻게 해야 합니까?

SQL 쿼리에서 LIKE 문과 함께 매개변수 사용 및 SQL 삽입 방지

데이터베이스 쿼리에서 매개변수 사용은 악성 SQL을 방지하는 데 중요한 방법입니다. 주입 공격. 그러나 LIKE 문으로 작업할 때 특정 구문 고려 사항이 발생합니다.

질문: LIKE 문에서 매개 변수를 사용할 수 있습니까? 그렇다면 어떻게 사용할 수 있습니까?

답변: 예, LIKE 문에서 매개변수를 사용할 수 있습니다. 그러나 문자열 연결을 적절하게 처리하는 것이 중요합니다.

매개변수화된 LIKE 문의 구문:

SELECT * FROM table_name WHERE(column_name LIKE @parameter)

매개변수 사용 VB.NET:

Dim cmd As New SqlCommand(
    "SELECT * FROM compliance_corner "_
    + " WHERE (body LIKE @query ) "_
    + " OR (title LIKE @query)")

cmd.Parameters.Add("@query", "%" + searchString + "%")

설명:

• LIKE 문은 본문 또는 제목 열의 값을 지정된 매개변수 @와 비교합니다. query.
• @query 매개변수가 선언되고 해당 값은 "%" 기호를 포함하여 동적으로 구성됩니다. 와일드카드.
• 매개변수를 사용하면 삽입된 문자열이 리터럴 값으로 처리되고 악성 코드로 실행되지 않도록 하여 SQL 주입 공격을 방지할 수 있습니다.

예 쿼리:

SELECT * FROM compliance_corner WHERE (body LIKE '%max%') OR (title LIKE '%max%')

이 쿼리는 본문 또는 제목 열에 하위 문자열이 포함된 모든 레코드를 검색합니다. "최대".

위 내용은 주입 공격을 방지하기 위해 SQL의 LIKE 문과 함께 매개 변수를 안전하게 사용하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!