使用MySqlParameter拼接sql语句在like中替换

最新推荐文章于 2024-03-06 16:53:27 发布
最新推荐文章于 2024-03-06 16:53:27 发布
阅读量583 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/September_UYang/article/details/120859926
版权

SQL注入 MySqlParameter 模糊查询 参数化查询 安全性
关键词由CSDN通过智能技术生成

为了防止sql注入,使用了MySqlParameter进行sql语句拼接,这是其中一段拼接语句,在link语句时出现了问题

sb.Append($" AND a.LoginName LIKE ’%@loginName%'");
param.Add(new MySqlParameter("@loginName", loginName));

它执行的sql是这样的:

AND a.LoginName LIKE '%@loginName%'

@loginName并未被替换,所以模糊查询会去匹配@loginName

修改代码如下:

sb.Append($" AND a.LoginName LIKE @loginName");
//将参数与%进行拼接
var likeLoginName = $"%{loginName}%";
param.Add(new MySqlParameter("@loginName", likeLoginName));

Kpowerful
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MySqlParameter_防注入参数配置
againknow的博客
12-27 1368
MySqlParameter_防注入参数配置
mysql select变量_MySql查询语句的变量使用
weixin_36261487的博客
01-18 3687
前言今日在LeetCode刷MySql的题,遇到一题,题目倒没什么,解答完了之后习惯去看此题的题解,有位大佬的思路让博主感觉很惊艳,至此,特地记录学习一下。题目解答乍一看题目也没啥,分数排名,思路是首先获取每个分数对应的排名,使用变量实现排名顺序,生成一张临时表,最后用主表关联临时表按主表分数倒序得到每条分数的排名,可能大部分童鞋都是跟博主一样的思路,实现代码如下SELECTs.Score,s1....
MySqlCommand,MySqlParameter和带有类似符号的“ LIKE”
04-04
如何在MySQL .NET / Connector使用带有MySQLParameter的LIKE搜索文本
c#学习(三)-- MySqlParameter构建的几种方式
ChenJin_2的博客
04-25 1060
c#学习(三)-- MySqlParameter构建的几种方式
mysql学习笔记(一)之mysqlparameter
luquansen的专栏
02-23 2万+
mysql学习笔记(一)之mysqlparameter 在.net操作数据库的时候。 大家都喜欢用sqlparameterparameter是预编译的,可以加快速度,也可以防注入。 在使用mssql的时候用sqlparameter。 在使用mysql的时候使用mysqlparameters。 第一次使用mysql的时候,都经常犯一个错误 比如在使用mssql的时候,
mysql.exe 参数,MySqlParameter 参数问题
weixin_33746819的博客
03-17 358
C#链接MYSQL 查询数据时,链接字符串需要加CharSet=gb2312,否则执行带参数的语句时返回null。static string connectionStr = "server=localhost;port=3306;CharSet=gb2312;user=xxx;password=xxx;database=xxx";string sql = "select * from users ...
mysql语句转换为sql_数据库-转换sql语句
weixin_35935249的博客
01-19 1847
文章描述:主要说明转换成SQL语句的过程。----必要信息(数据库名,表名,条件)转换成SQL语句一些界面上数据增删改查的操作往往只需要输入一数据库名,表名,加条件就可以进行数据查询了,在这背后是怎么实现了呢,这些程序有些是使用封装的方法,有些直接输入sql语句进行操作,封装的方法最后也是将查询条件(上面输入操作)转换为SQL语句用Statement对象对应方法进行相关操作JAVA:而Statem...
DBHelper数据库操作类(支持OleDb、MySQL、Oracle、SQL、SQLite).zip
04-22
执行SQL语句,返回影响的记录数 执行MySql和Oracle滴混合事务 执行多条SQL语句,实现数据库事务。 执行带一个存储过程参数的的SQL语句。 向数据库里插入图像格式的字段 执行一条计算查询结果语句,返回查询结果 执行...
Mysql.Data 各类版本
07-22
- 使用`MySqlParameter`对象添加参数,避免直接拼接SQL,降低SQL注入风险。 8. **异步操作**: - 新版本的Mysql.Data支持异步API,如`ExecuteNonQueryAsync()`, `ExecuteReaderAsync()`,允许非阻塞操作,提升...
MySql C# 自动生成语句
03-16
自己用的工具,做.NET 项目用...id order by `id` asc",new MySqlParameter[]{ new MySqlParameter("?id",value) } 普通语句: select `id`,`gid`,`ip` from Group_Server_list where `id`=?id order by `id` asc
C#调用MySQL存储过程的方法
09-03
存储过程是在数据库预编译的SQL语句集合,它可以执行一系列复杂的操作,如数据处理、事务管理等。本篇文章将详细讲解如何在C#调用MySQL存储过程,同时涵盖一些数据库操作的基本技巧。 首先,我们需要创建一个`...
c#学习(五)--c#调用mysql函数(MySqlParameter返回参数参数使用
ChenJin_2的博客
04-26 591
c#学习(五)--c#调用mysql函数(MySqlParameter返回参数参数使用
C# 连接 MySQL 数据库
热门推荐
熊思雨的博客
10-14 2万+
C# 使用 MySQL 数据库的情况还是比较少的,大部分使用 Windows 平台一般使用 SQL Server,在两年前我买过100元一年的学生服务器,当时也是买着玩的,装 MySQL 数据库使用起来就非常卡,也不知道为什么,但 SQL Server 操作起来不但不卡,还非常的流畅,但是 SQL Server 安装起来比较麻烦,卸载也容易出问题,尤其是盗版系统,我在工作,也出现了几次 SQL Server 卸载不了的事,我自己电脑用的正版Win10系统,从没出现这种事。
MySqlMySqlParameter的用法
万里归来少年心
09-29 1万+
在c#,向表person插入一条数据(表person包括两列:id和name),使用MySqlParameter定义表各列的值。 static void Main(string[] args) { string connectionString = "Server='localhost';Database='test';UId='root';Password='1...
WinForm连接MySQL数据库进行模糊查询传参数报错
最新发布
MarkandLcg的博客
03-06 199
如图,在文本框输入之后进行模糊查询报错。更改sql语句和参数,模糊查询成功。原来的查询数据库代码。
mysql参数化模糊查询(like)的用法
Reforn的专栏
06-15 1426
mysql版本:MySQL Server 5.5 编程语言:asp.net 语句:select ..... where ...and a.deptmentName like concat('%',?DeptSelectedValue,'%')"; 参数化: mysqlPar.Add(new MySqlParameter("?DeptSelectedValue",值)); 查询结果符合预期。 ...
c# mysql mysqlparameter,C#带参数MYSQL语句的有关问题
weixin_29800319的博客
03-12 560
C#带参数MYSQL语句的问题DBHelperNB.ExecuteNonQuery("insertintoecs_users(user_name,password,email,question,answer,sex,birthday,frozen_money,pay_points,rank_points,reg_time,last_login,last_ip,visit_count,qq,ho...
MySqlParameter使用注意事项
feifan570的专栏
08-27 6107
这几天在搞C#的程序,用到了mysql出现了一个问题: 在数据库定义了一个time型的数据,在C#使用参数传递 MySqlParameter[] parameters = {new MySqlParameter("@time_start", MySqlDbType.Time)}, parameters[0].Value = time_start; 其time_start定义成Date
MySqlParameter如何使用
05-04
MySqlParameter 是用于在 MySQL 数据库执行参数化查询的类。以下是一个基本的使用示例: ```csharp using System; using MySql.Data.MySqlClient; class Program { static void Main(string[] args) { string...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值