2010年5月13日
(二)SQL 注入
摘要: SQL注入就不用介绍了,网上很多。下面介绍一下防止SQL注入的方法。 使用quotename 函数和 sp_executesql 参考如下表结构:这是一个文档表里面有一些简单的字段信息 CREATE TABLE [dbo].[DocumentInfo]( [ID] [int] IDENTITY(1,1) primary key NOT NULL,--主键 [Name] [varchar](1... 阅读全文
posted @ 2010-05-13 18:01 清水无大大鱼 阅读(1967) 评论(0) 推荐(6) 编辑
动态SQL与SQL注入(一)动态SQL
摘要: SQL Server提供了2个用于执行动态构造的代码字符串命令,分别为exec和sp_executesql. Exec 有两种用法:一种是执行一个存储过程。 表结构及测试数据如下: create table [User] ( useridint identity primary key, userName nvarchar(8), pwd nvarchar(18), city nv... 阅读全文
posted @ 2010-05-13 15:48 清水无大大鱼 阅读(948) 评论(0) 推荐(2) 编辑