是否可以创建一个参数化的SQL语句,该语句将采用任意数量的参数?我试图允许用户根据多个关键字过滤列表,每个关键字用分号分隔.因此,输入将类似于"Oakland; City; Planning",WHERE子句将出现与下面相同的内容:
WHERE ProjectName LIKE '%Oakland%' AND ProjectName Like '%City%' AND ProjectName Like '%Planning%'
使用连接创建这样的列表真的很容易,但由于SQL注入漏洞,我不想采用这种方法.我有什么选择?我是否创建了一堆参数,希望用户不要尝试使用我定义的更多参数?或者有没有办法安全地创建参数化SQL?
性能不是什么大问题,因为该表现在只有大约900行,并且不会很快增长,可能每年50到100行.