62,046
社区成员
发帖
与我相关
我的任务
分享一个查询问题
一个查询页面,让用户在txtA中输入一个人名,就可以查出这个人的资料。
写法如下:
“ SELECT * FROM person WHERE person_name=’” & txtA.Text & “’”
如果用户在txtA中输入’ or ‘1’=’1
就可以查出所有人的资料了,我不想让他查出所有人的资料。请问各位高手是怎样解决这个问题的。
写法如下:
“ SELECT * FROM person WHERE person_name=’” & txtA.Text & “’”
如果用户在txtA中输入’ or ‘1’=’1
就可以查出所有人的资料了,我不想让他查出所有人的资料。请问各位高手是怎样解决这个问题的。
...全文
请发表友善的回复…
发表回复
buer 2004-01-07
- 打赏
- 举报
CMIC(大象)说的很对!!
也可以先筛选一些数据字符,但很费事
也可以先筛选一些数据字符,但很费事
kjphe 2004-01-07
- 打赏
- 举报
建议你用存储过程
CMIC 2004-01-06
- 打赏
- 举报
使用Sql参数
SqlCommand cmicCmd=new SqlCommand("SELECT * FROM person WHERE person_name=@person_name");
cmicCmd.Parameters.Add(new SqlParameter("@person_name",你的数据类型));
cmicCmd.Parameters["@person_name"].Value=txtA.Text;
想“ SELECT * FROM person WHERE person_name=’” & txtA.Text & “’”还有安全问题,比如用户在txtA中输入' delete person --,你的person表中的数据可就完蛋了。
SqlCommand cmicCmd=new SqlCommand("SELECT * FROM person WHERE person_name=@person_name");
cmicCmd.Parameters.Add(new SqlParameter("@person_name",你的数据类型));
cmicCmd.Parameters["@person_name"].Value=txtA.Text;
想“ SELECT * FROM person WHERE person_name=’” & txtA.Text & “’”还有安全问题,比如用户在txtA中输入' delete person --,你的person表中的数据可就完蛋了。
dongjie1928 2004-01-06
- 打赏
- 举报
晕,可以这样用:
这个SQL写成“ SELECT * FROM person WHERE person_name= @person_name";
再对这个@person_name赋值,就解决了你的问题。(具体代码不写了,给你点思路)
PS:你那种组合sql的方法很容易被破解,特别是在登陆时,一般登陆采用的是参数方法,这样可以避免错误,在C#中,用参数方法,是将参数值作为一个整体,赋给sql,
这个SQL写成“ SELECT * FROM person WHERE person_name= @person_name";
再对这个@person_name赋值,就解决了你的问题。(具体代码不写了,给你点思路)
PS:你那种组合sql的方法很容易被破解,特别是在登陆时,一般登陆采用的是参数方法,这样可以避免错误,在C#中,用参数方法,是将参数值作为一个整体,赋给sql,
veryhappy 2004-01-06
- 打赏
- 举报
在查询前先替换一些非法的字符
shenen 2004-01-06
- 打赏
- 举报
谢谢各位:
假设我的姓名字段应该可以存放=,or 字符呢?
假设我的姓名字段应该可以存放=,or 字符呢?
osborne 2004-01-06
- 打赏
- 举报
string key = txtA.Text.Replace(" or ","");
把 " or "给替换掉!
把 " or "给替换掉!
gj0001 2004-01-06
- 打赏
- 举报
判断TEXT的值,有非法字符就取消
zhongkeruanjian 2004-01-06
- 打赏
- 举报
在查询前判断TXTA。TEXT的值,如果等于上述两个,就返回错误信息
donger2000 2004-01-06
- 打赏
- 举报
禁止输入空格,“=” 等特殊字符,或者用“ SELECT TOP 1 * FROM person WHERE person_name=’” & txtA.Text & “’”就限制只能查到一点记录了
shenen 2004-01-06
- 打赏
- 举报
这个问题已经困绕我很久了
今天产品验收的时候,导入了大量数据;...需要根据两个字段去查询多个值,这两个字段值不同的数据,以前一直以为In查询只能查询一个字段的多个值。今天百度发现了一种写法,可以同时In查询多个字段的不同值。
