在将 varchar 值 '' 转换成数据类型 int 时失败

     我们有时候用in语句的时候,发现存在Sql注入漏洞,想参数化处理一下,遇到语句执行问题!!

declare @ids varchar(256)
set @ids='216,218'
select * from tbl_temp where id in(@ids)

  但是还是必须要解决Sql注入的问题,解决方案:利用CHARINDEX系统函数处理

declare @ids varchar(256)
set @ids='216,218'
select * from tbl_temp where CHARINDEX(','+LTRIM(id)+',',','+@ids+',')>0

      查到正确的数据结果。

 

posted on 2016-11-22 11:29  jianiu  阅读(4041)  评论(0编辑  收藏  举报