Quiero realizar una pequeña búsqueda en el servidor SQL en mi proyecto web ASP.NET, mi base de datos no es grande, así que creo que es mejor no usar la búsqueda de texto completo Quiero realizar una búsqueda simple como esto:Consultas utilizando comodines LIKE en el servidor sql
select * from mytable where columnA LIKE '%something%'
puedo usar = de la siguiente manera:
select * from mytable where columnA='"+myVariable+"'
pero ¿cómo puedo usar una variable en lugar de %something%
en frases como? ¿es correcto? LIKE '"+%myVariable%+"'
???
utilizo VS2010, C#
gracias
Correcto, pero también muy malo. La concatenación de cadenas para hacer declaraciones SQL puede dejarlo abierto a la inyección de SQL. Suponiendo que myVariable tiene valor ''; drop table mytable;'? Mire las consultas parametrizadas o una de las variedades de Linq para interactuar con un DB – spender
@spender: la validación de seguridad debe realizarse antes de la ejecución de una consulta de todos modos, por lo que esta no es una cuestión de consulta en sí misma – sll
@sll No lo compro. Es difícil "validar la seguridad" de cadenas que se mezclarán en sentencias de SQL. Es mejor simplemente no hacerlo. – spender