반응형
ASP 프로그래밍에서 SQL 인젝션을 막고자 쿼리문들을 파라미터 방식으로 변경하던 중

like 구분을 만났다. like '%찾는녀석%'  에서 쿼리가 안먹히는거다.

sql="select * from custInfo where hp like ?"
cmd.Parameters.Append .CreateParameter("@hp", adInteger, adParamInput,, hp)


sql 구문에 like '%?%' 하니 오작동...(당연히 될리가 있나!!)

그래서 아하! 하면서 파라미터 구문을 다음과 같이 변경해 주니 작동완료 ㅎㅎㅎ

cmd.Parameters.Append .CreateParameter("@hp", adInteger, adParamInput,, "%" & hp & "%")



반응형

+ Recent posts