Я разрабатываю веб-часть, где пользователи могут вводить поисковую фразу, для этого ищется индекс поиска MOSS. Для поиска я использую класс FullTextSqlQuery
.
Когда я создаю оператор select
, мне, очевидно, приходится использовать конкатенацию, чтобы включить в него ввод пользователя. Окончательный вывод должен быть примерно таким:
SELECT title, author from portal..scope()
WHERE ("SCOPE" = 'TheDocuments')
AND CONTAINS(MYPROPERTY, 'TheValueThatuserSpecified')
Итак, вопрос в том, как мне избежать инъекций SQL (?) При вводе пользователем? Есть ли для этого какая-то специальная служебная функция? В проектах php / mysql я d использовать mysql_real_escape_string
. Что-нибудь подобное в пространствах имен SharePoint?