摘要:
select * from tablenmae where id in(1,2,3)这样的语句和常用,但是如果in 后面的 1,2,3是变量怎么办呢,一般会用字符串连接的方式构造sql语句string aa="1,2,3";string sqltxt="select * from tablename where id in ("+aa+")";然后执行 sqltxt这样的风险是存在sql注入漏洞。那么如何在 in 的条件中使用变量呢?可以把形如“1,2,3”这样的字符串转换为一个临时表,这个表有一列,3行,每一行存一个项目(用逗号分隔 阅读全文
posted @ 2013-08-21 15:40
星火卓越
阅读(3717)
评论(0)
推荐(0)
浙公网安备 33010602011771号