Как? Параметры и LIKE оператор SQL

Question

Как? Параметры и LIKE оператор SQL

72

Я пишу функцию поиска и придумал этот запрос, используя параметры, чтобы предотвратить или хотя бы ограничить атаки SQL-инъекций. Однако, когда я запускаю его через свою программу, он ничего не возвращает:

SELECT * FROM compliance_corner WHERE (body LIKE '%@query%') OR (title LIKE '%@query%')

Можно ли использовать такие параметры? или они действительны только в экземпляре, например:

SELECT * FROM compliance_corner WHERE body LIKE '%<string>%' (где <string> - объект поиска).

EDIT: Я создаю эту функцию с помощью VB.NET, влияет ли это на синтаксис, который вы, ребята, внесли?

Кроме того, я запустил этот оператор в SQL Server: SELECT * FROM compliance_corner WHERE (body LIKE '%max%') OR (title LIKE% max% ') `и возвращает результаты.

Anders 30 окт. 2008, в 18:49

Источник

Теги:

sql

asp.net

vb.net

6 ответов

95

Ну, я бы пошел с:

 Dim cmd as New SqlCommand(
 "SELECT * FROM compliance_corner"_
  + " WHERE (body LIKE @query )"_ 
  + " OR (title LIKE @query)")

 cmd.Parameters.Add("@query", "%" +searchString +"%")

James Curran 30 окт. 2008, в 20:07

0

Это правильно, принятый ответ, предоставленный Джоном, имеет неправильный синтаксис!
Adam 30 окт. 2008, в 19:49
3

Я не уверен, как его синтаксис неправильный, его решение работало просто отлично. У меня есть функция, которая создает и возвращает инструкцию SQL для использования в DataTable или что-то еще.
Anders 30 окт. 2008, в 19:56
1

Дополнительное примечание: Синтаксис для C # с использованием MySQLDataAdapter = da = new MySQLDataAdapter ("SELECT * FROM tableA WHERE fieldA = @fieldA"); da.SelectCommand.Parameters.AddWithValue ("@ fieldA", "%" + someValue + "%");
John M 11 май 2010, в 19:21
0

это единственный ответ, который работал для меня!
nawfal 05 июль 2012, в 12:03
2

Другой ответ (от Джона) тоже работает, но он действительно уязвим для подобных инъекций, которые МОГУТ давать странные результаты, в зависимости от цели вашего поля.
Steven Lemmens 28 авг. 2012, в 11:30
0

Кажется, это лучший способ, спасибо Джеймс !!! GETTERRRDONEEE
MattyMerrix 07 нояб. 2016, в 16:36
0

и гораздо лучше для памяти плана выполнения SQL Server
Pierre Watelet 12 янв. 2017, в 08:45
0

Не должно быть cmd.Parameters.Add становится cmdLoad.Parameters.AddWithValue или есть какие-либо проблемы? Я понимаю, что ответ Джеймса с 2008 года :)
WTFZane 15 фев. 2017, в 06:58
0

отлично! благодарю вас
Francesco B. 12 дек. 2018, в 11:57

Показать ещё 7 комментариев

23

вам нужно сделать:

LIKE '%' + @param + '%'

Andrew Bullock 30 окт. 2008, в 19:21

0

отличное решение - даст больше +1, если возможно! Спасибо
B.M. 22 июль 2015, в 10:53

1

Иногда символ, используемый в качестве заполнителя %, не то же самое, если вы выполняете запрос из VB, как при его выполнении из MS SQL/Access. Попробуйте изменить свой символ-заполнитель от % до *. Это может сработать. Однако, если вы отлаживаете и хотите скопировать строку SQL непосредственно в MS SQL или Access для ее проверки, вам может потребоваться изменить символ на % в MS SQL или Access, чтобы фактически вернуть значения.

Надеюсь, что это поможет

Lalie 13 дек. 2010, в 20:32

1

Возможно, вам придется объединить знаки% с вашим параметром, например:

LIKE '%' || @query || '%'

Изменить: На самом деле это может не иметь никакого смысла. Я думаю, что я, возможно, неправильно понял вашу проблему.

Will Wagner 30 окт. 2008, в 19:00

0

попробуйте также этот путь

Dim cmd as New SqlCommand("SELECT * FROM compliance_corner WHERE (body LIKE CONCAT('%',@query,'%')  OR  title LIKE CONCAT('%',@query,'%') )")
cmd.Parameters.Add("@query", searchString)
cmd.ExecuteNonQuery()

Используется Конкат вместо +

Ramgy Borja 01 авг. 2017, в 06:47

Ещё вопросы

Это правильно, принятый ответ, предоставленный Джоном, имеет неправильный синтаксис!
Я не уверен, как его синтаксис неправильный, его решение работало просто отлично. У меня есть функция, которая создает и возвращает инструкцию SQL для использования в DataTable или что-то еще.
Дополнительное примечание: Синтаксис для C # с использованием MySQLDataAdapter = da = new MySQLDataAdapter ("SELECT * FROM tableA WHERE fieldA = @fieldA"); da.SelectCommand.Parameters.AddWithValue ("@ fieldA", "%" + someValue + "%");
это единственный ответ, который работал для меня!
Другой ответ (от Джона) тоже работает, но он действительно уязвим для подобных инъекций, которые МОГУТ давать странные результаты, в зависимости от цели вашего поля.
Кажется, это лучший способ, спасибо Джеймс !!! GETTERRRDONEEE
и гораздо лучше для памяти плана выполнения SQL Server
Не должно быть cmd.Parameters.Add становится cmdLoad.Parameters.AddWithValue или есть какие-либо проблемы? Я понимаю, что ответ Джеймса с 2008 года :)
отличное решение - даст больше +1, если возможно! Спасибо

John · Accepted Answer · 2008-10-30T19-53-00.000Z

72

Лучший ответ

Ваш визуальный базовый код будет выглядеть примерно так:

Dim cmd as New SqlCommand("SELECT * FROM compliance_corner WHERE (body LIKE '%' + @query + '%') OR (title LIKE '%' + @query + '%')")

cmd.Parameters.Add("@query", searchString)

John 30 окт. 2008, в 19:53

2

Как отметил Адам в своем ответе, это не защищает от внедрения SQL. Запрос должен быть параметризован.
DOK 30 окт. 2008, в 19:58
5

Не могли бы вы привести пример, где это не препятствует внедрению SQL? Из моего тестирования работает нормально
John 30 окт. 2008, в 20:32
27

Это не открыт для SQL инъекций, просто LIKE инъекции. Это означает, что пользователь может вводить специальные символы, такие как % ^ и _ которые LIKE будет интерпретировать специально. Это означает, что пользователь может не получить то, что он ожидает от определенных поисков. Например, поиск 'less than 1% fat' может вернуть результат 'less than 1% of doctors recommend this - it's full of fat!' ,
Alex Humphrey 13 апр. 2011, в 11:18
0

Я согласен, что подобное подвергается «Like Injection» и что вред только пользователь не получает то, что они ожидают. Санация запроса должна выполняться всегда, даже если она параметризована. Полагаться только на эту защиту не совсем безопасно.
Anthony Mason 09 март 2015, в 16:31
0

@AlexHumphrey Я на самом деле смеялся над примером, спасибо :)
trognanders 29 сен. 2015, в 19:51
1

Я также рекомендовал бы выполнять searchString.Replace("[","[[]").Replace("%","[%]").Replace("_","[_]") , что позволит избежать Как инъекция (если вы не используете условие escape).
8DX 15 март 2017, в 14:25

Показать ещё 4 комментария