路漫漫,求索不息

  博客园 :: 首页 :: 博问 :: 闪存 :: 新随笔 :: 联系 :: 订阅 订阅 :: 管理 ::

2015年4月3日

SQL参数化
摘要: 本文来自:caodonglin一、SQL参数化为什么能防注入?因为执行计划被重用了,所以可以防SQL注入。下面有两段SQL 正常SQL:1selectCOUNT(1)fromCruiseSysUserwhereCSUPwd='aa'andCSUUserName='bb' 被注入后的SQL:1sele... 阅读全文
posted @ 2015-04-03 17:32 路漫漫,求索不息 阅读(749) 评论(0) 推荐(0) 编辑

动态SQL的执行,注:exec sp_executesql 其实可以实现参数查询和输出参数的
摘要: 本文转自:http://www.cnblogs.com/hnsdwhl/archive/2011/07/23/2114730.html当需要根据外部输入的参数来决定要执行的SQL语句时,常常需要动态来构造SQL查询语句,个人觉得用得比较多的地方就是分页存储过程和执行搜索查询的SQL语句。一个比较通用... 阅读全文
posted @ 2015-04-03 10:32 路漫漫,求索不息 阅读(345) 评论(0) 推荐(0) 编辑