易截截图软件、单文件、免安装、纯绿色、仅160KB

如果存储过程是拼的SQL,那么要防止注入,怎么办?

是不是只能在执行存储过程之前替换掉敏感字符了?
应该是的,可以用正则去替换
引用
应该是的,可以用正则去替换


得寸进尺的问下,除了替换单引号,还需要替换哪些呢?谢谢~
C# code:

我自己一直是这么写的,希望对你有启发
#region 过滤字符
/// <summary>
/// 具体情况来定要过滤的字符
/// </summary>
/// <param name="param">要过滤的字符</param>
public static string CheckSaftParam(string param)
{

param = param.Replace("net user", "");
param = param.Replace("xp_cmdshell", "");
param = param.Replace("/add", "");
param = param.Replace("exec%20master.dbo.xp_cmdshell", "");
param = param.Replace("net localgroup administrators", "");
param = param.Replace("select", "");
param = param.Replace("'", "''");
param = param.Replace("insert", "");
param = param.Replace("delete", "");
param = param.Replace("drop", "");
param = param.Replace("truncate", "");


相关问答:

求 拼VB SQL insert into 字符串

  INSERT INTO StudAchieve(studID,studName)
  VALUES('2','abc'),('2','bcd'),('2','cde')

  拼了半天也不对,及啊 。。。。
SQL c ......

如何实现SQL Server报表定时输出

现在需要在SQL Server实现定时报表输出的功能,
例如在每天的12点生成当天的报表,并输出到Excel或其它格式的文件中。
我调查了一下,说SQL Server 报表服务有这个功能,但是没用过报表服务,不知如何实现,请 ......

sql 存储过程 动态表 DateTime数据类型 添加问题

我的数据库的表是动态的表,在添加数据的时候有一个字段是DATETIME数据类型的,下面是存储过程
if exists (select * from sysobjects where name='proc_ADD_Order')
drop proc proc_ADD_Order
go
......

求助一句SQL语句

数据类型:
Code char(6)
CreateTime datetime
Price float

数据如下:

Code      CreateTime          Price
031021 2008-10-17 15:00:1 ......

两张字段相同表,求SQL语句,谢谢大家

有两张字段相同的表A,B。字段为SN, Name, Operator, Result, Remark
A表中字段SN唯一,B表中字段SN不唯一,有很多条
如何用一条select语句
把符合SN=’abc’的记录从A,B表中筛选出来?



SQL co ......
© 2009 ej38.com All Rights Reserved. 关于E健网联系我们 | 站点地图 | 赣ICP备09004571号