社区
数据库及相关技术
帖子详情
sql="select * from Table1 where Name='"+strName+"'";这条语句有什么隐患?
kmfangxun
2006-11-27 03:24:22
sql="select * from Table1 where Name='"+strName+"'";这条语句有什么隐患存在?strName保存用户输入。
...全文
157
3
打赏
收藏
sql="select * from Table1 where Name='"+strName+"'";这条语句有什么隐患?
sql="select * from Table1 where Name='"+strName+"'";这条语句有什么隐患存在?strName保存用户输入。
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
3 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
kmfangxun
2006-11-27
打赏
举报
回复
呵呵,前几天被用户搞得焦头烂额,拖了几天到现场才发觉就是因为楼上几个兄弟说的原因造成的。害得我还得花时间重写类似的sql语句。看来图省事是不行地!
ccrun.com
2006-11-27
打赏
举报
回复
如果对strName的内容不加以过滤的话,可能存在SQL注入漏洞。
LuoGD
2006-11-27
打赏
举报
回复
strName = "' or 'a'='a"
试试~~
用SQL参数的方法可以避免:
sql="select * from Table1 where Name=@name";
SQL
语句
大全集合
- **CASE
语句
**:根据不同的条件返回不同的结果。 **示例:** ```
sql
-- IF条件判断 DECLARE @i INT; SET @i = 12; IF (@i > 10) BEGIN PRINT 'Dadadada!'; PRINT 'Dadadada!'; END ELSE BEGIN PRINT 'XiaoXiao...
jsp my
sql
登录功能代码
String str
Sql
= "
SELECT
COUNT(*) FROM admin WHERE Admin_name='" +
strName
+ "' and Admin_pass='" + strPass + "'"; ResultSet result = stat.executeQuery(str
Sql
); result.next(); if (result.getInt(1) ...
jsp+my
sql
数据库登陆功能实现代码.pdf
String str
Sql
= "
SELECT
COUNT(*) FROM admin WHERE Admin_name='" +
strName
+ "' and Admin_pass='" + strPass + "'"; ResultSet result = stat.executeQuery(str
Sql
); result.next(); if (result.getInt(1) ...
SQL
Server数据库中如何存储图片--教程.doc
Sql
Command cmd = new
Sql
Command("
select
Picture from StudentInfo where ID = 1", conn);
Sql
DataReader reader = cmd.ExecuteReader(); if (reader.Read()) { byte[] buffer = (byte[])reader["Picture"]; ...
oracle存储过程写法
select
count(*) into v_num from user_
table
s where
table
_name = 'T_TEMP'; if v_num >= 1 then execute immediate 'truncate
table
T_TEMP'; execute immediate 'drop
table
T_TEMP'; end if; -- 创建全局...
数据库及相关技术
1,178
社区成员
18,938
社区内容
发帖
与我相关
我的任务
数据库及相关技术
C++ Builder 数据库及相关技术
复制链接
扫一扫
分享
社区描述
C++ Builder 数据库及相关技术
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章
发帖
与我相关
我的任务
分享