28,391
社区成员
发帖
与我相关
我的任务
分享关于like查询:当字段code为数字型 code like %"&request("text")&"% 这样对吗?
关于like查询:当字段code为数字型 code like %"&request("text")&"% 这样对吗?
...全文
请发表友善的回复…
发表回复
sheyu8 2004-04-16
- 打赏
- 举报
严重错误!!!
如果request("text")被黑客加了点恶意代码,使你sql语句合法,然后加点删除操作,那你可就惨了!:)
如果request("text")被黑客加了点恶意代码,使你sql语句合法,然后加点删除操作,那你可就惨了!:)
QQgenie 2004-04-16
- 打赏
- 举报
code 转换为字符型
liuyangxuan 2004-04-16
- 打赏
- 举报
少两个''
wdyxt 2004-04-16
- 打赏
- 举报
这样做没问题
xdk 2004-04-16
- 打赏
- 举报
SQL="SELECT * FROM TableName WHERE code LIKE '%" & request("text") & "%'"
这样可以的,,,我现在的程序也是这样做。没有一点问题。(sql server 2K)
这样可以的,,,我现在的程序也是这样做。没有一点问题。(sql server 2K)
