低级miss
今天在写对数据库操作的程序的时候,犯了个低级错误,记下以示提醒自己,绝不能在同一个地方跌倒。
错误如下:
string strCol1 = ....................
strSQL = "INSERT INTO TBL_TEMP(col1,col2) VALUES('" + strCol1 + "','test' )";
数据库是 Excel (使用oleDB)程序中居然没有对 变量 strCol1 进行任何 字符 check ,比如 单引号 check 等。
测试时发现这个 bug ,后来改为 使用 parameter 避免特殊的字符。
* 在修改的过程中 使用 parameter ,确发现了一个 parameter 追加的顺序问题,现在还没时间最后确认,过两天确认后再修改post。
错误如下:
string strCol1 = ....................
strSQL = "INSERT INTO TBL_TEMP(col1,col2) VALUES('" + strCol1 + "','test' )";
数据库是 Excel (使用oleDB)程序中居然没有对 变量 strCol1 进行任何 字符 check ,比如 单引号 check 等。
测试时发现这个 bug ,后来改为 使用 parameter 避免特殊的字符。
* 在修改的过程中 使用 parameter ,确发现了一个 parameter 追加的顺序问题,现在还没时间最后确认,过两天确认后再修改post。
