博客园-欢迎光临赵玉开的技术博客-最新评论

博客园-欢迎光临赵玉开的技术博客-最新评论http://www.cnblogs.com/yukaizhao/CommentsRSS.aspx天马行空无怨无嗔zh-cnWed, 23 Jul 2008 09:06:06 GMTWed, 23 Jul 2008 09:06:06 GMTcnblogsre: 如何定义Xsd文件http://www.cnblogs.com/yukaizhao/archive/2008/07/25/687526.html#1267280雨中漫步的太阳雨中漫步的太阳Fri, 25 Jul 2008 06:54:48 GMThttp://www.cnblogs.com/yukaizhao/archive/2008/07/25/687526.html#1267280

雨中漫步的太阳 2008-07-25 14:54 发表评论

]]>re: 如此高效通用的分页存储过程是带有sql注入漏洞的http://www.cnblogs.com/yukaizhao/archive/2008/07/21/669617.html#1262776玉开玉开Mon, 21 Jul 2008 10:13:08 GMThttp://www.cnblogs.com/yukaizhao/archive/2008/07/21/669617.html#1262776这是一个思路吧，where条件通常是多变的。

玉开 2008-07-21 18:13 发表评论

]]>re: 如此高效通用的分页存储过程是带有sql注入漏洞的http://www.cnblogs.com/yukaizhao/archive/2008/07/18/669617.html#1260356Net205 BlogNet205 BlogFri, 18 Jul 2008 09:24:27 GMThttp://www.cnblogs.com/yukaizhao/archive/2008/07/18/669617.html#1260356--代码中的@strSearch假设为存储过程的参数
按你的代码写的(存在SQL注入的写法)
declare @strSearch varchar(100)
set @strSearch = 'Jim''dog'

DECLARE @strSQL varchar(8000)
DECLARE @strWhere varchar(1000)
SET @strWhere = 'UserName LIKE ''%'+ @strSearch +'%'''
set @strSQL = 'SELECT TOP 20 * from [UserAccount] where ' + @strWhere + ' ORDER BY ID DESC'
print @strSQL
exec (@strSQL)

解决办法：
declare @strSearch varchar(100)
set @strSearch = 'Jim''dog'

DECLARE @strSQL nvarchar(4000)
DECLARE @strWhere varchar(1000)
SET @strWhere = 'UserName LIKE ''%@strSearch%'''
set @strSQL = 'SELECT TOP 20 * from [UserAccount] where ' + @strWhere + ' ORDER BY ID DESC'
print @strSQL
exec sp_executesql @strSQL,N'@strSearch varchar(100)',@strSearch

试验过

Net205 Blog 2008-07-18 17:24 发表评论

]]>re: Js + Css的msn式的popup提示窗口的实现http://www.cnblogs.com/yukaizhao/archive/2008/07/17/707103.html#1258871wbbwbbThu, 17 Jul 2008 04:23:00 GMThttp://www.cnblogs.com/yukaizhao/archive/2008/07/17/707103.html#1258871

wbb 2008-07-17 12:23 发表评论

]]>re: Sql Server2005对t-sql的增强之Cross Applyhttp://www.cnblogs.com/yukaizhao/archive/2008/07/17/1177554.html#1258841andrew1234567890andrew1234567890Thu, 17 Jul 2008 03:46:05 GMThttp://www.cnblogs.com/yukaizhao/archive/2008/07/17/1177554.html#1258841

andrew1234567890 2008-07-17 11:46 发表评论

]]>re: 必须掌握的八个【cmd 命令行】[转]http://www.cnblogs.com/yukaizhao/archive/2008/07/16/1244403.html#1256971火无极火无极Wed, 16 Jul 2008 07:55:53 GMThttp://www.cnblogs.com/yukaizhao/archive/2008/07/16/1244403.html#1256971

火无极 2008-07-16 15:55 发表评论

]]>re: 必须掌握的八个【cmd 命令行】[转]http://www.cnblogs.com/yukaizhao/archive/2008/07/16/1244403.html#1256954thank youthank youWed, 16 Jul 2008 07:49:58 GMThttp://www.cnblogs.com/yukaizhao/archive/2008/07/16/1244403.html#1256954

thank you 2008-07-16 15:49 发表评论

]]>re: 2008,属于每一个中国人！http://www.cnblogs.com/yukaizhao/archive/2008/07/16/1242692.html#1256595Rick CarterRick CarterWed, 16 Jul 2008 04:55:02 GMThttp://www.cnblogs.com/yukaizhao/archive/2008/07/16/1242692.html#1256595

Rick Carter 2008-07-16 12:55 发表评论

]]>re: 2008,属于每一个中国人！http://www.cnblogs.com/yukaizhao/archive/2008/07/15/1242692.html#1255097上午的绝缘杯上午的绝缘杯Tue, 15 Jul 2008 03:13:07 GMThttp://www.cnblogs.com/yukaizhao/archive/2008/07/15/1242692.html#1255097路边摊不让摆了，
进京的车需要查身份证，
走在大街上需要暂住证，
汽车分单双号了，
地铁不让带饮料了，
奥运歌曲、自拍视频不让发表了，
网络项目也不让开了，
民工劝返了，
还有什么...

上午的绝缘杯 2008-07-15 11:13 发表评论

]]>re: 2008,属于每一个中国人！http://www.cnblogs.com/yukaizhao/archive/2008/07/14/1242692.html#1254372玉开玉开Mon, 14 Jul 2008 10:07:47 GMThttp://www.cnblogs.com/yukaizhao/archive/2008/07/14/1242692.html#1254372大家不要写对奥运不利的句子

玉开 2008-07-14 18:07 发表评论

]]>