노무현 대통령 배너


ASP 프로그래밍에서 SQL 인젝션을 막고자 쿼리문들을 파라미터 방식으로 변경하던 중

like 구분을 만났다. like '%찾는녀석%'  에서 쿼리가 안먹히는거다.

sql="select * from custInfo where hp like ?"
cmd.Parameters.Append .CreateParameter("@hp", adInteger, adParamInput,, hp)


sql 구문에 like '%?%' 하니 오작동...(당연히 될리가 있나!!)

그래서 아하! 하면서 파라미터 구문을 다음과 같이 변경해 주니 작동완료 ㅎㅎㅎ

cmd.Parameters.Append .CreateParameter("@hp", adInteger, adParamInput,, "%" & hp & "%")



Posted by 윤귀

댓글을 달아 주세요

  1. LuckyStrike 2016.04.22 10:22  댓글주소  수정/삭제  댓글쓰기

    좋은정보 감사합니다^^