查询字符串中的单引号字符导致 SQL 注入
Single quote character in query string causes SQL injection
我只是想知道在硬编码 SQL 查询中向嵌入式查询字符串参数添加单引号是否会导致 SQL 注入错误?正如您在 @docNum 参数后看到的那样,我同时使用了百分号和单引号字符。在我的代码中某处导致错误。现在,如果我只使用一个百分比字符 % 而不是同时使用 % 和单引号字符 %' ,这与下面的 StringBuilder 附加行不同,这会阻止错误发生吗?
sb.Append("AND docNumTCN LIKE thumbsdown @docNum%' " );
如果我在这里是正确的,我怀疑您正在尝试查找可能 Like 另一个文件编号。也许您要实现的目标是:
sb.Append("AND docNumTCN LIKE '%' + @docNum + '%' ")
令人困惑的部分是您在那里的 thumbsdown 字段。
我只是想知道在硬编码 SQL 查询中向嵌入式查询字符串参数添加单引号是否会导致 SQL 注入错误?正如您在 @docNum 参数后看到的那样,我同时使用了百分号和单引号字符。在我的代码中某处导致错误。现在,如果我只使用一个百分比字符 % 而不是同时使用 % 和单引号字符 %' ,这与下面的 StringBuilder 附加行不同,这会阻止错误发生吗?
sb.Append("AND docNumTCN LIKE thumbsdown @docNum%' " );
如果我在这里是正确的,我怀疑您正在尝试查找可能 Like 另一个文件编号。也许您要实现的目标是:
sb.Append("AND docNumTCN LIKE '%' + @docNum + '%' ")
令人困惑的部分是您在那里的 thumbsdown 字段。