Question

用C# 写ORACLE 模糊查询，输入内容可能出现%'各种符号

根据在textbox内输入的任意内容进行模糊查询。
select * from table where name like '% "+ 方法 +" %'
共通方法怎么写？
因为检索值是不确定输入内容是否有通用字符

若以下回答无法解决问题，邀请你更新回答

Answer 1

拼接字符串始终是不安全的，容易被注入或者说你上述的问题。解决办法是参数化查询，自己查一下。

追问

我定义了参数，问题是怎么把参数里可能出现的字符拼上\转义

追答

关键代码截图看看。

追问

sql.AppendFormat(" AND A.NEWS_TITLE LIKE '%{0}%'", title);
可不可以利用replace把里面的替换掉。该怎么替换，比如我title输入的是%\'&sds

追答

你没看我的第一个回答，我给你建议用参数化查询，而你现在还在用拼接字符串。