防御手段一:参数化查询
防御手段二:过滤与转换
LIKE条件查询时,需要将参数中特殊的字符进行转换:
oracle 的替换方法:
替换 ' 为 ''
下面 % 或_需要增加/转换,查询语句后需要加 ESCAPE '/'
替换 % 为 /%
替换 _ 为/_
例如:SELECT last_name FROM employees WHERE last_name LIKE '%A/_B%' ESCAPE '/';
防御手段一:参数化查询
防御手段二:过滤与转换
LIKE条件查询时,需要将参数中特殊的字符进行转换:
oracle 的替换方法:
替换 ' 为 ''
下面 % 或_需要增加/转换,查询语句后需要加 ESCAPE '/'
替换 % 为 /%
替换 _ 为/_
例如:SELECT last_name FROM employees WHERE last_name LIKE '%A/_B%' ESCAPE '/';