Czy to zapytanie jest bezpieczne w stosunku do wtrysku sql w połączeniu z Dapper? Jeśli nie, jaki byłby właściwy sposób zapisu go w MySql? A może jest lepsza wersja bez użycia concat?Zapytanie Dapper LIKE dotyczące zabezpieczenia MySql przed iniekcją Sql?
string sql = "SELECT * from user_profile WHERE FirstName LIKE CONCAT("%",@name,"%");"
var result = connection.query<profile>(sql, new {name});
To bezpieczny ponieważ jesteś nie budowanie SQL dynamicznie w całej. Nazwa to normalny parametr. W rzeczywistości nie ma to nic wspólnego z Dapperem.
Używanie konkatału ciągów tutaj jest właściwym wyborem. Alternatywnie możesz użyć funkcji SUBSTRING_INDEX.
Nie ma problemu z tym kodem, ale innym sposobem jest przeprowadzenie concat na rozmówcy, tj
const string sql = "SELECT * from user_profile WHERE FirstName LIKE @name;";
var result = connection.Query<Profile>(sql, new {name = "%"+name+"%"});
To działa, ale zapewnia sever mniej informacji na temat struktury wzoru. Nie masz pewności, czy ma to znaczenie dla wyszukiwania podłańcuchowego, ale z całą pewnością ma na początek - z wyszukiwaniami. – usr
@usr byłoby interesujące profilować to. Nie ma wpływu na inne RDBMS w negatywny sposób. –
Dziękuję wam za odpowiedzi! – Epstone