Sql server 正在验证SQL Server全文搜索的输入
在我的web应用程序中,我希望在全文搜索中为用户提供包含的全部功能,但是用户很容易输入无效字符串,例如不在引号中的短语 我可以费力地解析输入并确定它是否有效,或者我可以处理SQL返回的语法错误Sql server 正在验证SQL Server全文搜索的输入,sql-server,full-text-search,validation,Sql Server,Full Text Search,Validation,在我的web应用程序中,我希望在全文搜索中为用户提供包含的全部功能,但是用户很容易输入无效字符串,例如不在引号中的短语 我可以费力地解析输入并确定它是否有效,或者我可以处理SQL返回的语法错误 但这是唯一的两个选择吗?有什么我可以用来验证输入的吗?不确定MsSql是否支持,但你不能使用准备好的语句吗?@Daan我相信它们与我已经在使用的参数化查询是等价的。如果它们确实相同,然后,使用准备好的/参数化的语句将用户输入直接提交到数据库中是没有问题的。只需100%确保先解析SQL,然后才提供数据/输入
但这是唯一的两个选择吗?有什么我可以用来验证输入的吗?不确定MsSql是否支持,但你不能使用准备好的语句吗?@Daan我相信它们与我已经在使用的参数化查询是等价的。如果它们确实相同,然后,使用准备好的/参数化的语句将用户输入直接提交到数据库中是没有问题的。只需100%确保先解析SQL,然后才提供数据/输入。我的问题更多的是盲目创建错误,而不是先验证输入。我认为,试图通过使用参数化查询/预处理语句来避免SQL插入是另一回事。我求助于少量的预解析来捕获最常见的问题,其余的则留给SQL。从那以后,我转到了其他项目。祝你好运。不确定MsSql是否支持它,但你不能使用准备好的语句吗?@Daan我相信它们与我已经在使用的参数化查询是等价的。如果它们确实相同,那么使用准备好的/参数化的语句直接将用户输入提交到数据库中是没有问题的。只需100%确保先解析SQL,然后才提供数据/输入。我的问题更多的是盲目创建错误,而不是先验证输入。我认为,试图通过使用参数化查询/预处理语句来避免SQL插入是另一回事。我求助于少量的预解析来捕获最常见的问题,其余的则留给SQL。从那以后,我转到了其他项目。祝你一切顺利。