社区
数据库及相关技术
帖子详情
sql="select * from Table1 where Name='"+strName+"'";这条语句有什么隐患?
kmfangxun
2006-11-27 03:24:22
sql="select * from Table1 where Name='"+strName+"'";这条语句有什么隐患存在?strName保存用户输入。
...全文
192
3
打赏
收藏
sql="select * from Table1 where Name='"+strName+"'";这条语句有什么隐患?
sql="select * from Table1 where Name='"+strName+"'";这条语句有什么隐患存在?strName保存用户输入。
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
3 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
kmfangxun
2006-11-27
打赏
举报
回复
呵呵,前几天被用户搞得焦头烂额,拖了几天到现场才发觉就是因为楼上几个兄弟说的原因造成的。害得我还得花时间重写类似的sql语句。看来图省事是不行地!
ccrun.com
2006-11-27
打赏
举报
回复
如果对strName的内容不加以过滤的话,可能存在SQL注入漏洞。
LuoGD
2006-11-27
打赏
举报
回复
strName = "' or 'a'='a"
试试~~
用SQL参数的方法可以避免:
sql="select * from Table1 where Name=@name";
sql
where 1=1 和 1=0 区别
本文介绍了
SQL
中一种特殊的用法:通过使用where 1=0来快速创建表结构而不获取实际数据,以此来节省内存资源。同时,文章还提供了一个具体的示例说明如何利用这一技巧来创建新表。
SQL
中 where 1=1 和 1=0的 作用
本文探讨了
SQL
语言中where 1=1的用途及在动态查询条件下的应用技巧,并解释了where 1=0在表结构读取中的特殊作用。
oracle竖表转横表字段合并
本文深入解析了一段复杂的
SQL
查询
语句
,详细介绍了如何使用子查询、联接、聚合函数和列表聚合函数listagg来从多个表中获取并整合数据。通过具体示例,展示了如何在
SQL
中处理多表关联、属性聚合以及结果排序,为数据库管理和数据分析师提供了一个实用的参考案例。
物料表, Truncate 表,插入数据 存储过程
本文介绍了一个Oracle存储过程,用于创建并填充一个名为T_ITEM的表,该表包含多个字段如物料ID、名称、型号等,并定义了每个字段的注释说明。
使用
SQL
语句
操作
SQL
ite数据库
本文介绍了一个简单的Android应用程序如何使用
SQL
ite进行数据的增删改查操作。通过实例代码展示了如何创建数据库、插入数据、查询数据并将结果显示在一个列表视图中。
数据库及相关技术
1,178
社区成员
18,938
社区内容
发帖
与我相关
我的任务
数据库及相关技术
C++ Builder 数据库及相关技术
复制链接
扫一扫
分享
社区描述
C++ Builder 数据库及相关技术
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章