如何有效的防止SQL连接字符串注入

SQL 日期盘点

DECLARE @dt datetime
SET @dt=GETDATE()
DECLARE @number int
SET @number=3
--1．指定日期该年的第一天或最后一天
--A. 年的第一天
SELECT CONVERT(char(5),@dt,120)+'1-1'
--B. 年的最后一天
SELECT CONVERT(char(5),@dt,120)+'12-31'
--2．指定日期所在季度的第一天或最后一天
--A. 季度的第一天
SELECT CON ......

动态SQL基本语法

1 :普通SQL语句可以用exec执行
Select * from tableName
exec('select * from tableName')
exec sp_executesql N'select * from tableName' -- 请注意字符串前一定要加N
2:字段名，表名，数据库名之类作为变量时，必须用动态SQL
declare @fname varchar(20)
set @fname = 'FiledName'
Select @fname from tab ......

MS SQL系统存储过程览要

sp_databases --列出服务器上的所有数据库
sp_server_info --列出服务器信息，如字符集，版本和排列顺序
sp_stored_procedures--列出当前环境中的所有存储过程
sp_tables --列出当前环境中所有可以查询的对象
sp_start_job --立即启动自动化任务
sp_stop_job --停止正在执行的自动化任务
sp_password --� ......

sql语句

Sql语句

1. 说明：复制表(只复制结构，源表名：a，新表名：b) SQL:select * into bfrom awhere 1<>1;
2. 说明：拷贝� ......

SQL之用户自定义函数

用户自定义函数（User Defined Functions）是SQL Server 的数据库对象，它不能用于执行一系列改变数据库状态的操作，但它可以像系统函数一样在查询或存储过程等的程序段中使用，也可以像存储过程一样通过 EXECUTE 命令来执行。用户自定义函数中存储了一个Transact-SQL 例程，可以返回一定的值。
　　在SQL Server 中根据� ......