ユーザーが標準の検索テキスト ボックスに入力した内容に応じて検索結果を返すストアド プロシージャがあります。検索ボックスで Enter キーを押すと、ユーザーが入力したものは何でも search.aspx?q= にクエリを渡します。
search.aspx には、クエリ文字列パラメーターを受け入れ、いくつかのテーブルを結合し、次の where 句を含むストアド プロシージャを呼び出す sqldatasource があります...
where (description like '%' + @query + '%' or title like '%' + @query + '%' or calls.call_id like @query or r.firstname = @query or r.lastname = @query
or n.note like '%' + @query + '%')
...このSQLインジェクションは、このようなパラメータを使用しても安全ですか?
ありがとう、