尽量不要拼凑Sql语句,用参数来防注入
如果是类似"select * from user where uid="+uid +" and pwd="+pwd 很容易出问题
使用 SQLParamenter
把你的SQL语句写成 类似存储过程
select * from user where uid=@uid and pwd=@pwd
使用这个SQL语句定义为 SQLCommand 对象 然后使用 Paramenter 对象把 @*** 替换为 值
就可以搞定注入式漏洞了
相关文档:
--1:无ORDER BY排序的写法。(效率最高)
--(经过测试,此方法成本最低,只嵌套一层,速度最快!即使查询的数据量再大,也几乎不受影响,速度依然!)
SELECT *
from (Select ROWNUM AS ROWNO, T.*
from k_task T &s ......
SQL截取字符串
SUBSTRING
返回字符、binary、text 或 image 表达式的一部分。有关可与该函数一起使用的有效Microsoft SQL Server 数据类型的更多信息,请参见数据类型。
语法
SUBSTRING ( expression & ......
标签:数据访问 ADO.NET
DataAdapter 对象中的SQL命令 注:ADO.NET对象模型 和 C# 要比 SQL 更适合处理复杂运算 和 导航逻辑(比如,查找相关的另一个表的数据)
......
用SQL语句添加删除修改字段
1.增加字段
alter table docdsp add dspcode char(200)
alter table tbl add meet_group int2
2.删除字段
ALTER TABLE table_NAME DROP COLUMN column_NAME
3.修改字段类型
&nbs ......