2

我正在一个类中构建一个搜索功能,供我们的几个 asp 页面使用。这个想法很简单,从用户那里获取一个搜索词并在数据库中查询该项目。目前我这样做的方式是错误的,这很容易受到 SQL 注入攻击(如果出现问题,ELMAH会在那里挽救一天):

Public Shared Function SearchByName(ByVal searchterm As String) As DataTable
    SearchByName = New DataTable

    Dim con As New OracleConnection(System.Configuration.ConfigurationManager.ConnectionStrings("OracleDB").ConnectionString)



    Try
        con.Open()
        Dim SqlStr As String = "select ID_ELEMENT, ELEMENT_NAME from table_of_elements where upper(ELEMENT_NAME) like upper('%" & searchterm & "%')"
        Dim cmd As New OracleCommand(SqlStr, con)
        SearchByName.Load(cmd.ExecuteReader)





    Catch ex As Exception
        Elmah.ErrorSignal.FromCurrentContext().Raise(ex)

    End Try
    con.Close()
    con.Dispose()




    Return SearchByName
End Function

字符串连接不好。接下来你知道,Bobby Tables破坏了我的系统。现在,执行此操作的正确方法是通过将 :searchterm 放入字符串并添加以下行来创建适当的 oracle 变量:

cmd.Parameters.Add(New OracleParameter("SEARCHTERM", searchterm))

问题是因为我使用的是 like 语句,我需要能够在搜索词的任何一侧都有 %,而我似乎无法使用 '%:searchterm%' 来做到这一点,它只会给出一个错误ORA-01036: 非法变量名称/编号。

我可以参数化但仍然让我灵活的 like 语句成为它的一部分吗?

4

2 回答 2

5

不要在 VB 代码中进行连接,而是在 SQL 语句中进行连接。那么你想要做的应该工作。这是一些说明我在说什么的 SQL:

select ID_ELEMENT, ELEMENT_NAME 
from table_of_elements 
where upper(ELEMENT_NAME) like ('%' || upper(:searchterm) || '%')

顺便说一句,如果您将 ELEMENT_NAME 上的排序规则切换为不区分大小写,然后删除对 upper() 的调用,您最终可能会得到更有效的查询。

于 2009-09-15T21:47:51.633 回答
1

由于您使用的是 oracle,因此另一种选择是使用Oracle Text来执行搜索。

正确设置可能需要一些时间,但如果您有大量文本要搜索,或者有某种结构化数据,它可以为您提供比简单的通配符比较更多的选择。

如果您碰巧也有这个问题,它还具有处理多种语言的一些不错的功能。

于 2009-09-15T22:13:51.047 回答