摘要： 发布一个类似Subsonic语法的动态生成SQL语句，并可以返回相应实体类的一个组件 趁上周周末空闲的时候，参考Subsonic的一些代码并模仿它的语法写了一个动态生成SQL语句的组件，主要是为了能提高一下开发效率。实现原理这里就不细说了，有兴趣的朋友可以看一下源码，应该不难明白。这里主要简单介绍以下个这个组件的用法：1. 首先从最简单的开始，从一个表中获取其中几个列的数据 [代码]以上的代码将会... 阅读全文

摘要： 防SQL注入：生成参数化的通用分页查询语句 前些时间看了玉开兄的“如此高效通用的分页存储过程是带有sql注入漏洞的”这篇文章，才突然想起某个项目也是使用了累似的通用分页存储过程。使用这种通用的存储过程进行分页查询，想要防SQL注入，只能对输入的参数进行过滤，例如将一个单引号“'”转换成两个单引号“''”，但这种做法是不安全的... 阅读全文

摘要： http://www.cnblogs.com/yukaizhao/archive/2007/03/09/pagination_proc_problem.html在google中搜索“分页存储过程”会出来好多结果，是大家常用的分页存储过程，今天我却要说它是有漏洞的，而且漏洞无法通过修改存储过程进行补救，如果你觉得我错了，请读下去也许你会改变看法。通常大家都会认为存储过程可以避... 阅读全文