SQL学习笔记[1] - 防注入攻击:一个参数传值+模糊查询的参考写法
2012-02-25 10:15
549 查看
OracleConnection conn = new OracleConnection(ConfigurationManager.ConnectionStrings["ConnStr_Ora"].ConnectionString);
conn.Open();
OracleCommand cmd = new OracleCommand("select VENDOR_REF,NAME,SHORT_NAME,SITE,ADDRESS,COMMENTS,S_CONTACT,POST_OR_ZIP,TELEPHONE,FAX,CAUTION_TEXT FROM SCP" + schema_proj + ".VDB_VENDORS WHERE NAME LIKE :vendor AND COMMENTS LIKE :specialty AND CAUTION_TEXT
LIKE :isQualified ORDER BY VENDOR_REF", conn);
cmd.Parameters.Add(new OracleParameter("vendor", OracleType.VarChar, 60));
cmd.Parameters["vendor"].Value = "%" + vendor_name + "%";
cmd.Parameters.Add(new OracleParameter("specialty", OracleType.VarChar, 20));
cmd.Parameters["specialty"].Value = "%" + dll_specialty.SelectedValue + "%";
cmd.Parameters.Add(new OracleParameter("isQualified", OracleType.VarChar, 20));
cmd.Parameters["isQualified"].Value = "%" + dll_isQulified.SelectedValue + "%";
OracleDataAdapter sad = new OracleDataAdapter(cmd);
DataSet ds = new DataSet();
sad.Fill(ds);
gv.DataSource = ds;
gv.DataBind();
conn.Close();
conn.Open();
OracleCommand cmd = new OracleCommand("select VENDOR_REF,NAME,SHORT_NAME,SITE,ADDRESS,COMMENTS,S_CONTACT,POST_OR_ZIP,TELEPHONE,FAX,CAUTION_TEXT FROM SCP" + schema_proj + ".VDB_VENDORS WHERE NAME LIKE :vendor AND COMMENTS LIKE :specialty AND CAUTION_TEXT
LIKE :isQualified ORDER BY VENDOR_REF", conn);
cmd.Parameters.Add(new OracleParameter("vendor", OracleType.VarChar, 60));
cmd.Parameters["vendor"].Value = "%" + vendor_name + "%";
cmd.Parameters.Add(new OracleParameter("specialty", OracleType.VarChar, 20));
cmd.Parameters["specialty"].Value = "%" + dll_specialty.SelectedValue + "%";
cmd.Parameters.Add(new OracleParameter("isQualified", OracleType.VarChar, 20));
cmd.Parameters["isQualified"].Value = "%" + dll_isQulified.SelectedValue + "%";
OracleDataAdapter sad = new OracleDataAdapter(cmd);
DataSet ds = new DataSet();
sad.Fill(ds);
gv.DataSource = ds;
gv.DataBind();
conn.Close();
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- myBatis学习笔记(6)——动态SQL & 模糊查询
- Mybatis学习笔记-动态SQL和模糊查询
- sqlparameter参数查询,防注入攻击
- MyBatis学习笔记-注解SQL多个参数查询异常处理
- 黑马程序员--学习笔记之SQL注入漏洞攻击
- SQL学习笔记[5] - 通过分隔符解析方式实现向SQL存储过程传递数组参数
- sql语句模糊查询并且要传入参数
- Mybatis学习笔记(二)-----查询sql的配置文件
- oracle学习笔记 ---- 常用SQL*PLUS命令(二)之格式化查询结果
- mysql数据库 sql语句学习笔记02 插入更新和查询
- 简单高效防注入攻击的动态多参数、动态SQL语句拼接方法,提高网站的安全性
- [原创]java WEB学习笔记23:MVC案例完整实践(part 4)---模糊查询的设计与实现
- sql 入门经典(第五版) Ryan Stephens 学习笔记 第四部分:建立复杂的数据库查询/
- SQL学习笔记——SQL中的数据查询语句汇总
- SQL查询学习笔记
- SQL学习笔记----Select查询先后顺序
- SQL学习笔记[6] - SQL中如何将一个表中的某一列的数据复制到另一个表中的某一列里
- solr学习笔记二-------solr query查询的参数
- SQL查询艺术学习笔记--SQL事务处理 隔离 锁 与 并发操作
- 常见sql语句查询--学习笔记