我正在一个类中构建一个搜索功能,供我们的几个 asp 页面使用。这个想法很简单,从用户那里获取一个搜索词并在数据库中查询该项目。目前我这样做的方式是错误的,这很容易受到 SQL 注入攻击(如果出现问题,ELMAH会在那里挽救一天):
Public Shared Function SearchByName(ByVal searchterm As String) As DataTable
SearchByName = New DataTable
Dim con As New OracleConnection(System.Configuration.ConfigurationManager.ConnectionStrings("OracleDB").ConnectionString)
Try
con.Open()
Dim SqlStr As String = "select ID_ELEMENT, ELEMENT_NAME from table_of_elements where upper(ELEMENT_NAME) like upper('%" & searchterm & "%')"
Dim cmd As New OracleCommand(SqlStr, con)
SearchByName.Load(cmd.ExecuteReader)
Catch ex As Exception
Elmah.ErrorSignal.FromCurrentContext().Raise(ex)
End Try
con.Close()
con.Dispose()
Return SearchByName
End Function
字符串连接不好。接下来你知道,Bobby Tables破坏了我的系统。现在,执行此操作的正确方法是通过将 :searchterm 放入字符串并添加以下行来创建适当的 oracle 变量:
cmd.Parameters.Add(New OracleParameter("SEARCHTERM", searchterm))
问题是因为我使用的是 like 语句,我需要能够在搜索词的任何一侧都有 %,而我似乎无法使用 '%:searchterm%' 来做到这一点,它只会给出一个错误ORA-01036: 非法变量名称/编号。
我可以参数化但仍然让我灵活的 like 语句成为它的一部分吗?