SQL 参数能否有效地与 LIKE 语句一起使用？

在 SQL 中的 LIKE 语句中使用参数

开发搜索功能时，尽量减少 SQL 注入攻击等潜在安全风险至关重要。一种方法是在 SQL 查询中使用参数。但是，用户在 LIKE 语句中使用参数时可能会遇到问题。

以下查询演示了 LIKE 语句中的预期参数用法：

SELECT * FROM compliance_corner WHERE (body LIKE '%@query%') OR (title LIKE '%@query%')

但是，此查询不会产生任何结果结果。这就提出了一个问题：参数是否适用于此上下文，或者它们是否受到限制，如本例所示？

SELECT * FROM compliance_corner WHERE body LIKE '%<string>%'

此外，用户提供了一个在 SQL Server 中返回结果的替代查询：

SELECT * FROM compliance_corner WHERE (body LIKE '%max%') OR (title LIKE%max%')

要有效地在 LIKE 语句中使用参数，建议参考下面的 VB.NET 代码片段：

Dim cmd as New SqlCommand( _
"SELECT * FROM compliance_corner" _
+ " WHERE (body LIKE @query )" _
+ " OR (title LIKE @query)")

cmd.Parameters.Add("@query", "%" +searchString +"%")

以上是SQL 参数能否有效地与 LIKE 语句一起使用？的详细内容。更多信息请关注PHP中文网其他相关文章！