我有一个sql函数,它接受关键字并返回一个全文搜索表。
如果关键字字符串包含多个关键字,我该如何格式化?我需要拼接字符串并插入“AND”吗? (我通过Linq TO SQL将关键字传递给方法)
另外,我如何最好地保护自己免受sql注入。默认的ASP.NET过滤器是否足够?
感谢
答案 0 :(得分:1)
我会在每个单词上使用“AND”和星号。星号将有助于匹配更广泛,因为我认为最好返回太多而不是太少。例如,搜索“Georgia Peach”会使用关键字字符串'“Georgia *”和“Peach *”'(每个单词周围的双引号很重要)。
我相信ASP.NET过滤器已足够。此外,由于您使用的是参数化查询(LINQ to SQL可以使用),因此您非常安全。