查看: 1889|回复: 25

使用动态sql的方法防止sql注入

[复制链接]
发表于 2012-11-23 04:45:14 | 显示全部楼层 |阅读模式
事例SQL语句如下:

DECLARE @variable NVARCHAR(100)
DECLARE @SQLString NVARCHAR(1024)
DECLARE @ParmDefinition NVARCHAR(500)
SET @SQLString = N'SELECT OEV.Name, OEV.Position, Base_Employee.Address, OEV.Telephone, OEV.MobilePhone, OEV.Email, OEV.RealDepID
                   FROM Base_OrganizeEmployeeView AS OEV
                   JOIN Base_Employee
                   ON Base_Employee.Emp_ID = OEV.Emp_ID
                   WHERE (OEV.Account LIKE ''%'' + @searchFilter + ''%'' OR OEV.Name LIKE ''%'' + @searchFilter + ''%'' OR OEV.Position LIKE ''%'' + @searchFilter + ''%'' ) AND STATE = 1'
SET @parmDefinition = N'@searchFilter varchar(100)'
SET @variable = N'k'
EXECUTE sp_executesql @SQLString, @ParmDefinition, @searchFilter = @variable
发表于 2012-11-23 18:22:45 | 显示全部楼层
@,@..是什么意思呀?  
发表于 2014-10-20 00:51:55 | 显示全部楼层
我假装认真地工作,老板假装认真地付薪水  
发表于 2014-10-26 18:23:08 | 显示全部楼层
人之所以能,是相信能。  
发表于 2014-11-6 04:48:55 | 显示全部楼层
我不是随便的人。我随便起来不是人  
发表于 2014-11-18 17:32:48 | 显示全部楼层
楼主也是培训师吗  
发表于 2014-12-6 11:48:27 | 显示全部楼层
不对,就是碗是铁的,里边没饭你吃啥去?  
发表于 2014-12-29 17:24:14 | 显示全部楼层
我假装认真地工作,老板假装认真地付薪水  
发表于 2015-1-29 13:38:04 | 显示全部楼层
应该加分  
发表于 2015-3-3 17:16:22 | 显示全部楼层
不错,看看。  
高级模式
B Color Image Link Quote Code Smilies

本版积分规则