今天下午同事問我一個比較基礎的問題,在拼接sql語句的時候,如果遇到Like的情況該怎麼辦。
我原來的寫法就是簡單的拼接字符串,後來同事問我如果遇到sql注入怎麼辦。我想了下,這確實是個問題。
剛在網上找了下相關的說明,原來是這樣寫的。
如這樣一個sql語句:
select * from game where gamename like '%張三%'
用c#表示的話:
string keywords = "張三";
StringBuilder strSql=new StringBuilder();
strSql.Append("select * from game where gamename like @keywords");
SqlParameter[] parameters=new SqlParameter[]
{
new SqlParameter("@keywords","%"+keywords+"%"),
};
這裡雖然采用了仍然是用% 來寫,但是可以有效過濾sql注入的情況,還是挺簡單實用。
是個小知識點,希望對你能有所幫助! ^_^
&可以作為“按位與”或是“取地址”運算符
下面是作為兩種用法的介紹:
1. 按位與運算 按位與運算符"&"是雙目運算符。其功能是參與運算的兩數各對應的二進位相與。只有對應的兩個二進位均為1時,結果位才為1 ,否則為0。參與運算的數以補碼方式出現。
例如:9&5可寫算式如下: 00001001 (9的二進制補碼)&00000101 (5的二進制補碼) 00000001 (1的二進制補碼)可見9&5=1。
按位與運算通常用來對某些位清0或保留某些位。例如把a 的高八位清 0 , 保留低八位, 可作 a&255 運算 ( 255 的二進制數為0000000011111111)。
2.取地址
&作為一元運算符,結果是右操作對象的地址。
例如&x返回x的地址。
地址本身是一個抽象的概念,用於表示對象在存儲器中的邏輯位置
&可以作為“按位與”或是“取地址”運算符
下面是作為兩種用法的介紹:
1. 按位與運算 按位與運算符"&"是雙目運算符。其功能是參與運算的兩數各對應的二進位相與。只有對應的兩個二進位均為1時,結果位才為1 ,否則為0。參與運算的數以補碼方式出現。
例如:9&5可寫算式如下: 00001001 (9的二進制補碼)&00000101 (5的二進制補碼) 00000001 (1的二進制補碼)可見9&5=1。
按位與運算通常用來對某些位清0或保留某些位。例如把a 的高八位清 0 , 保留低八位, 可作 a&255 運算 ( 255 的二進制數為0000000011111111)。
2.取地址
&作為一元運算符,結果是右操作對象的地址。
例如&x返回x的地址。
地址本身是一個抽象的概念,用於表示對象在存儲器中的邏輯位置
