SQL Server Dynamic SQL с предложением LIKE и SQL Injection
У меня динамически построенный SQL, как показано ниже. Мой вопрос: уязвим ли он для SQL Injection? Если да, как мне его исправить?
--search title only if @SearchType =2 BEGIN SET @strSQL = @strSQL + 'AND (IDownload.FileTitle LIKE ''%'[email protected]+'%'' ) ' END - как выбрать запись, чей соответствующий процент выше, чем другой, используя такой же оператор в sql-сервере?
- Поиск записей с нечетными символами в именах
- LIKE с значениями, разделенными запятыми
- НЕ НРАВИТСЯ И НРАВИТСЯ, не возвращаясь к противоположному результату
- Как использовать подобный оператор для поиска паттернов, где часть операнда является параметром
- SQL Server Left Join LIKE неожиданный результат
- SQL Server как поведение оператора для %%
- Группировать с помощью LIKE Operator и игнорировать значение NULL
- Как писать подобные заявления в Entity Framework, когда любимая оценка содержит%
- LIKE обход в SQL (проблемы с производительностью)
- Предложение WHERE в столбцах NULLable, содержащее LIKE, сохранение индекса
- Предложение LIKE не работает на SQL-сервере
- SQL LIKE возвращает неверные результаты и двойные строки
Да, проверьте:
CREATE TABLE Test (Id int) GO CREATE TABLE IDownload (FileTitle nvarchar(100)) DECLARE @strSQL nvarchar(max) DECLARE @Search nvarchar(max) = 'a'') DROP TABLE Test --' SET @strSQL = 'SELECT 1 FROM IDownload WHERE 1 = 1 ' SET @strSQL = @strSQL + 'AND (IDownload.FileTitle LIKE ''%'[email protected]+'%'' ) ' PRINT @strSQL EXEC sp_executesql @strSQL DROP TABLE IDownload
Я могу удалить таблицу Test проходящую специальную строку в @Search . Перепишите свой код с помощью процедуры и параметров sp_executesql .