C# SQLParameterCollection AddWithValue和Add不转义通配符
我目前正在构建一个API,允许用户使用名称搜索数据库对象。存储过程按如下方式运行此查询:C# SQLParameterCollection AddWithValue和Add不转义通配符,c#,sql-server,C#,Sql Server,我目前正在构建一个API,允许用户使用名称搜索数据库对象。存储过程按如下方式运行此查询: ALTER PROCEDURE [GetMyDatabaseObjectByName] @name varchar(255) as begin select mdo.Name, mdo.ID from MyDatabaseObject mdo where mdo.Name like '%' + @name + '%' end select mdo.Name
ALTER PROCEDURE [GetMyDatabaseObjectByName]
@name varchar(255)
as
begin
select mdo.Name,
mdo.ID
from MyDatabaseObject mdo
where mdo.Name like '%' + @name + '%'
end
select mdo.Name,
mdo.ID
from MyDatabaseObject mdo
where mdo.Name like '%' + '%' + '%'
dbCommand.Parameters.AddWithValue("@name", name);
ALTER PROCEDURE [GetMyDatabaseObjectByName]
@name varchar(255)
as
begin
select mdo.Name,
mdo.ID
from MyDatabaseObject mdo
where mdo.Name like '%' + @name + '%'
end
select mdo.Name,
mdo.ID
from MyDatabaseObject mdo
where mdo.Name like '%' + '%' + '%'
dbCommand.Parameters.Add("@name", SqlDbType.NVarChar).Value = name;
这里的首选方法是什么,在客户端级别使用正则表达式以避免它传递任何时髦的字符?添加和添加不会自动转义任何符号,为了清除或转义用户可能传入的符号,您需要实现类似的功能
name = EscapeForLike(name)
dbCommand.Parameters.AddWithValue("@name", name);
public static string EscapeForLike(string input)
{
return input
.Replace("[", "\\[")
.Replace("]", "\\]")
.Replace("\\", "[\\]")
.Replace("%", "[%]")
.Replace("_", "[_]");
}
@Lostaunaum这是一个问题,因为您已经将通过字符串连接构建查询的糟糕做法从C#端转移到了存储过程端。这是完全相同的问题。不要这样做。那么不要允许从前端执行。然而,如果他们只传递字符串
ee通常不被认为是特殊字符,但它有许多与允许%
@DanielMann将其移动到过程中同样的缺点,这并不能解决问题。他们正在向用户输入添加前导和尾随通配符。并且它是正确参数化的。不需要传递%,空搜索字符串也可以这样做。服务器正按照您的指示进行操作。无法通过转义来解决,请首先定义目标,例如要求搜索字符串中的字符数最少。下划线也是表达式中的通配符(即单字符通配符)。以及方括号中的字母组。至少这里的参数方法不是sql注入漏洞。如果您不希望使用用户提供的通配符,并且仍然要附加前导通配符和尾随通配符,则只需使用CHARINDEX
即可