使用MySqlParameter拼接sql语句在like中替换

Kpowerful

于 2021-10-20 10:09:19 发布

阅读量666

点赞数

文章标签： mysql

本文链接：https://blog.youkuaiyun.com/September_UYang/article/details/120859926

版权

本文探讨了在防止SQL注入时使用MySqlParameter的重要性。通过一个具体的示例，展示了如何正确拼接SQL语句，避免了原始字符串中%@loginName%未被替换的问题。修正后的代码通过参数化查询确保了loginName的正确插入，从而实现了有效的模糊查询。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

为了防止sql注入，使用了MySqlParameter进行sql语句拼接，这是其中一段拼接语句，在link语句时出现了问题

sb.Append($" AND a.LoginName LIKE ’%@loginName%'");
param.Add(new MySqlParameter("@loginName", loginName));

它执行的sql是这样的：

AND a.LoginName LIKE '%@loginName%'

@loginName并未被替换，所以模糊查询会去匹配@loginName

修改代码如下：

sb.Append($" AND a.LoginName LIKE @loginName");
//将参数与%进行拼接
var likeLoginName = $"%{loginName}%";
param.Add(new MySqlParameter("@loginName", likeLoginName));