在SQL注入中是否可以保存存储过程中%的参数值?
我有一个存储过程,允许用户搜索包含表格列中给定值的记录:
CREATE PROC sp_Search
@SearchValue NVARCHAR(255)
AS
BEGIN
SELECT * FROM TableA WHERE ColumnA LIKE '%' + @SearchValue + '%' OR ColumnB LIKE '%' + @SearchValue + '%'
END
答案 0 :(得分:0)
CHARINDEX(@SearchValue, [COLUMNA]) > 0
OR CHARINDEX(@SearchValue, [COLUMNB]) > 0