+++++用了存储过程,还是很难做到防sql注入!
混世罗汉 2005-07-05 08:53:54 别人说用存储过程 可以彻底解决sql注入的问题,但我用了,怎么还是有这样的问题??
sqlserver存储过程如下:
CREATE PROCEDURE select_account
(
@Account [char](16),
@Pwd [char](32)
)
AS
SELECT * FROM [Account] WHERE Account=@Account And Pwd=@Pwd
GO
调用过程就不写了,就是那个para什么的
现在用 'or''='还是能直接进入,不用存在的用户名和密码,不知如何解决??????