Tôi muốn thực hiện tìm kiếm máy chủ SQL nhỏ trong dự án web ASP.NET của mình, cơ sở dữ liệu của tôi không lớn nên tôi nghĩ tốt hơn là không sử dụng tìm kiếm toàn văn Tôi muốn thực hiện một tìm kiếm đơn giản như thế này:Truy vấn sử dụng ký tự đại diện LIKE trong máy chủ sql
select * from mytable where columnA LIKE '%something%'
tôi có thể sử dụng = theo cách sau:
select * from mytable where columnA='"+myVariable+"'
nhưng làm thế nào tôi có thể sử dụng một biến thay vì %something%
trong cụm từ như thế nào? có đúng không? LIKE '"+%myVariable%+"'
???
tôi sử dụng VS2010, C#
nhờ
Đúng nhưng cũng rất tệ. Việc ghép nối các chuỗi để tạo các câu lệnh SQL có thể khiến bạn mở rộng đến việc tiêm SQL. Giả sử myVariable có giá trị ''; drop table mytable;'? Nhìn vào các truy vấn được tham số hóa hoặc một trong các giống LINQ để tương tác với DB – spender
@spender: xác thực bảo mật phải được thực hiện trước khi thực thi truy vấn, vì vậy đây không phải là câu hỏi của truy vấn – sll
@ sll Tôi không mua nó. Rất khó để "bảo mật xác thực" chuỗi sẽ được trộn lẫn vào câu lệnh SQL. Tốt hơn là không nên làm điều đó. – spender