2010年7月9日
不要相信使用Parameter安全调用分页存贮过程会没有SQL注入
摘要: 不要相信使用Parameter安全调用分页存贮过程会没有SQL注入:如:[代码]这种调用也存在SQL注入.我想查询News表中Title存在"博客园"的文章:PageIndex = 1PageSize = 20Tables= "News"Fields = "*"Where = "Title like '%博客园%'"GroupBy = ""OrderBy = "NewsID Desc"这种写法是正... 阅读全文
posted @ 2010-07-09 22:45 熊哥 阅读(2324) 评论(18) 推荐(1)
SQL分页ROW_NUMBER() OVER/TOP MAX/TOP MIN存贮过程调用方法
摘要: [代码] 阅读全文
posted @ 2010-07-09 21:47 熊哥 阅读(1126) 评论(3) 推荐(0)
今天遇到一个SQL的问题
摘要: 今天遇到一个SQL的问题:select REPLACE('::::',':','1') 等于1111,不是我想要的结果。不知道这是不是SQL2008的一个小BUG。 阅读全文
posted @ 2010-07-09 11:44 熊哥 阅读(393) 评论(3) 推荐(0)