是否在存储过程中将参数与通配符连接安全?

时间:2015-08-20 20:07:32

标签: sql sql-server stored-procedures sql-injection

在SQL注入中是否可以保存存储过程中%的参数值?

我有一个存储过程,允许用户搜索包含表格列中给定值的记录:

CREATE PROC sp_Search
@SearchValue NVARCHAR(255)
AS
BEGIN
SELECT * FROM TableA WHERE ColumnA LIKE '%' + @SearchValue + '%' OR ColumnB LIKE '%' + @SearchValue + '%'
END

1 个答案:

答案 0 :(得分:0)

你能做到吗?

   CHARINDEX(@SearchValue, [COLUMNA]) > 0 
OR CHARINDEX(@SearchValue, [COLUMNB]) > 0