使用动态sql的方法防止sql注入
2012-11-21 15:50
501 查看
事例SQL语句如下:
DECLARE @variable NVARCHAR(100)
DECLARE @SQLString NVARCHAR(1024)
DECLARE @ParmDefinition NVARCHAR(500)
SET @SQLString = N'SELECT OEV.Name, OEV.Position, Base_Employee.Address, OEV.Telephone, OEV.MobilePhone, OEV.Email, OEV.RealDepID
FROM Base_OrganizeEmployeeView AS OEV
JOIN Base_Employee
ON Base_Employee.Emp_ID = OEV.Emp_ID
WHERE (OEV.Account LIKE ''%'' + @searchFilter + ''%'' OR OEV.Name LIKE ''%'' + @searchFilter + ''%'' OR OEV.Position LIKE ''%'' + @searchFilter + ''%'' ) AND STATE = 1'
SET @parmDefinition = N'@searchFilter varchar(100)'
SET @variable = N'k'
EXECUTE sp_executesql @SQLString, @ParmDefinition, @searchFilter = @variable
DECLARE @variable NVARCHAR(100)
DECLARE @SQLString NVARCHAR(1024)
DECLARE @ParmDefinition NVARCHAR(500)
SET @SQLString = N'SELECT OEV.Name, OEV.Position, Base_Employee.Address, OEV.Telephone, OEV.MobilePhone, OEV.Email, OEV.RealDepID
FROM Base_OrganizeEmployeeView AS OEV
JOIN Base_Employee
ON Base_Employee.Emp_ID = OEV.Emp_ID
WHERE (OEV.Account LIKE ''%'' + @searchFilter + ''%'' OR OEV.Name LIKE ''%'' + @searchFilter + ''%'' OR OEV.Position LIKE ''%'' + @searchFilter + ''%'' ) AND STATE = 1'
SET @parmDefinition = N'@searchFilter varchar(100)'
SET @variable = N'k'
EXECUTE sp_executesql @SQLString, @ParmDefinition, @searchFilter = @variable
相关文章推荐
- 最近sql注入数据库被更改泛滥,以下提供一个.net程序防止sql注入的方法
- PL/SQL开发中动态SQL的使用方法
- PL/SQL开发中动态SQL的使用方法
- RO 本地sql动态指令检索使用方法
- 动态SQL的使用方法
- PL/SQL开发中动态SQL的使用方法
- PL/SQL开发中动态SQL的使用方法
- PL/SQL开发中动态SQL的使用方法[转]
- 使用TryParse方法 防止sql注入
- pro*C 使用动态sql方法四实现数据批量导入导出
- 构造使用IN子句的动态Transact-SQL方法进行编号查询
- 构造使用IN子句的动态Transact-SQL方法进行编号查询
- HQL或SQL使用?带来的好处:减少SQL解析时间、降低内存开销、防止SQL注入
- PL/SQL开发中动态SQL的使用方法
- PL/SQL开发中动态SQL的使用方法
- [Oracle整理]动态SQL的使用方法
- IBatisNet使用方法(五)动态SQL
- PL/SQL开发中动态SQL的使用方法
- 构造使用IN子句的动态Transact-SQL方法进行编号查询
- C#使用带like的sql语句时防sql注入的方法