我有一个存储过程,它将根据用户键入标准搜索文本框的内容返回搜索结果.按下在搜索框中输入后,我将查询传递给search.aspx?q =无论用户输入什么.
search.aspx有一个sqldatasource,它接受一个查询字符串参数并调用一个连接多个表的存储过程,并包含以下where子句……
where (description like '%' + @query + '%' or title like '%' + @query + '%' or calls.call_id like @query or r.firstname = @query or r.lastname = @query or n.note like '%' + @query + '%')
…这个sql注入是安全的,即使用这样的参数吗?
谢谢,