使用MySqlParameter拼接sql语句在like中替换

最新推荐文章于 2023-04-26 13:57:08 发布
最新推荐文章于 2023-04-26 13:57:08 发布
阅读量583 收藏
点赞数
文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/September_UYang/article/details/120859926
版权

为了防止sql注入,使用了MySqlParameter进行sql语句拼接,这是其中一段拼接语句,在link语句时出现了问题

sb.Append($" AND a.LoginName LIKE ’%@loginName%'");
param.Add(new MySqlParameter("@loginName", loginName));

它执行的sql是这样的:

AND a.LoginName LIKE '%@loginName%'

@loginName并未被替换,所以模糊查询会去匹配@loginName

修改代码如下:

sb.Append($" AND a.LoginName LIKE @loginName");
//将参数与%进行拼接
var likeLoginName = $"%{loginName}%";
param.Add(new MySqlParameter("@loginName", likeLoginName));

Kpowerful
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MySqlParameter_防注入参数配置
againknow的博客
12-27 1364
MySqlParameter_防注入参数配置
mysql select变量_MySql查询语句的变量使用
weixin_36261487的博客
01-18 3684
前言今日在LeetCode刷MySql的题,遇到一题,题目倒没什么,解答完了之后习惯去看此题的题解,有位大佬的思路让博主感觉很惊艳,至此,特地记录学习一下。题目解答乍一看题目也没啥,分数排名,思路是首先获取每个分数对应的排名,使用变量实现排名顺序,生成一张临时表,最后用主表关联临时表按主表分数倒序得到每条分数的排名,可能大部分童鞋都是跟博主一样的思路,实现代码如下SELECTs.Score,s1....
MySqlCommand,MySqlParameter和带有类似符号的“ LIKE”
04-04
如何在MySQL .NET / Connector使用带有MySQLParameter的LIKE搜索文本
c#学习(三)-- MySqlParameter构建的几种方式
ChenJin_2的博客
04-25 1052
c#学习(三)-- MySqlParameter构建的几种方式
mysql学习笔记(一)之mysqlparameter
luquansen的专栏
02-23 2万+
mysql学习笔记(一)之mysqlparameter 在.net操作数据库的时候。 大家都喜欢用sqlparameterparameter是预编译的,可以加快速度,也可以防注入。 在使用mssql的时候用sqlparameter。 在使用mysql的时候使用mysqlparameters。 第一次使用mysql的时候,都经常犯一个错误 比如在使用mssql的时候,
mysql.exe 参数,MySqlParameter 参数问题
weixin_33746819的博客
03-17 358
C#链接MYSQL 查询数据时,链接字符串需要加CharSet=gb2312,否则执行带参数的语句时返回null。static string connectionStr = "server=localhost;port=3306;CharSet=gb2312;user=xxx;password=xxx;database=xxx";string sql = "select * from users ...
mysql语句转换为sql_数据库-转换sql语句
weixin_35935249的博客
01-19 1845
文章描述:主要说明转换成SQL语句的过程。----必要信息(数据库名,表名,条件)转换成SQL语句一些界面上数据增删改查的操作往往只需要输入一数据库名,表名,加条件就可以进行数据查询了,在这背后是怎么实现了呢,这些程序有些是使用封装的方法,有些直接输入sql语句进行操作,封装的方法最后也是将查询条件(上面输入操作)转换为SQL语句用Statement对象对应方法进行相关操作JAVA:而Statem...
c#学习(五)--c#调用mysql函数(MySqlParameter返回参数参数使用
ChenJin_2的博客
04-26 586
c#学习(五)--c#调用mysql函数(MySqlParameter返回参数参数使用
C# 连接 MySQL 数据库
热门推荐
熊思雨的博客
10-14 2万+
C# 使用 MySQL 数据库的情况还是比较少的,大部分使用 Windows 平台一般使用 SQL Server,在两年前我买过100元一年的学生服务器,当时也是买着玩的,装 MySQL 数据库使用起来就非常卡,也不知道为什么,但 SQL Server 操作起来不但不卡,还非常的流畅,但是 SQL Server 安装起来比较麻烦,卸载也容易出问题,尤其是盗版系统,我在工作,也出现了几次 SQL Server 卸载不了的事,我自己电脑用的正版Win10系统,从没出现这种事。
mysql参数化模糊查询(like)的用法
Reforn的专栏
06-15 1426
mysql版本:MySQL Server 5.5 编程语言:asp.net 语句:select ..... where ...and a.deptmentName like concat('%',?DeptSelectedValue,'%')"; 参数化: mysqlPar.Add(new MySqlParameter("?DeptSelectedValue",值)); 查询结果符合预期。 ...
c# mysql mysqlparameter,C#带参数MYSQL语句的有关问题
weixin_29800319的博客
03-12 559
C#带参数MYSQL语句的问题DBHelperNB.ExecuteNonQuery("insertintoecs_users(user_name,password,email,question,answer,sex,birthday,frozen_money,pay_points,rank_points,reg_time,last_login,last_ip,visit_count,qq,ho...
MySqlMySqlParameter的用法
万里归来少年心
09-29 1万+
在c#,向表person插入一条数据(表person包括两列:id和name),使用MySqlParameter定义表各列的值。 static void Main(string[] args) { string connectionString = "Server='localhost';Database='test';UId='root';Password='1...
c# mysql mysqlparameter,C# mysql 带参数语句
weixin_42676876的博客
03-18 766
带参数语句通常用于批量操作,例如批量插入。截取一小段代码,修改后做一个简单的示例:1. 表结构:CREATE TABLE `数据` (`createtime` datetime NOT NULL,`dt` datetime NOT NULL,`val` float(7,2) DEFAULT NULL,PRIMARY KEY (`createtime`,`dt`)) ENGINE=MyISAM DE...
SQL like 通配符 特殊字符处理
weixin_30439067的博客
04-09 86
以下是一些匹配的举例,需要说明的是,只有like操作才有这些特殊字符,=操作是没有的。a_b... a[_]b%a%b... a[%]b%a[b... a[[]b%a]b... a]b%a[]b... a[[]]b%a[^]b... a[[][^]]b%a[^^]b... a[[][^][^]]b% 1. 在实际进行处理的...
c# mysql mysqlparameter,C# MySQL 参数化查询方式
weixin_39719165的博客
04-01 525
C# MySQL 参数化查询方式发布时间:2020-04-17 21:09作者:独孤剑阅读:396C# MySQL 参数化查询方式using System;using MySql.Data.MySqlClient;namespace MySqlDemo{class Program{static void Main(string[] args){string connectionString = "...
C#连接MySql数据库
Mo_LiYang的博客
05-16 1792
//建立连接 string connectStr = "server=127.0.0.1; User Id=root; password=; Database=studentdb;SslMode=none;Charset=utf8"; MySqlConnection conn = new MySqlConnection(connectStr); //写查询语句,拼接式易sql注入不安全(or 1=1),单引号易出错,推荐参数化sql //string sql = "select count(1) from
MySqlParameter使用注意事项
feifan570的专栏
08-27 6105
这几天在搞C#的程序,用到了mysql出现了一个问题: 在数据库定义了一个time型的数据,在C#使用参数传递 MySqlParameter[] parameters = {new MySqlParameter("@time_start", MySqlDbType.Time)}, parameters[0].Value = time_start; 其time_start定义成Date
MySqlParameter如何使用
最新发布
05-04
MySqlParameter 是用于在 MySQL 数据库执行参数化查询的类。以下是一个基本的使用示例: ```csharp using System; using MySql.Data.MySqlClient; class Program { static void Main(string[] args) { string connectionString = "Server=localhost;Database=mydatabase;Uid=myusername;Pwd=mypassword;"; string query = "SELECT * FROM users WHERE age > @age"; using (MySqlConnection connection = new MySqlConnection(connectionString)) { using (MySqlCommand command = new MySqlCommand(query, connection)) { command.Parameters.AddWithValue("@age", 18); // 添加参数 connection.Open(); using (MySqlDataReader reader = command.ExecuteReader()) { while (reader.Read()) { Console.WriteLine("Name: {0}, Age: {1}", reader.GetString(0), reader.GetInt32(1)); } } } } } } ``` 在这个示例,我们使用 MySqlCommand 和 MySqlDataReader 来执行查询操作。我们使用了 AddWithValue 方法来添加一个参数,它将参数的名称和值一起传递。在查询,我们使用了 @age 参数,这个参数的值由 AddWithValue 方法设置。 这是一个基本的 MySqlParameter使用示例。在实际应用,您可能需要使用更多的参数,还可以设置参数的数据类型、长度等属性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值