文档中心

今天写网站的时候很囧啊，发现查找用户权限的时候无缘无故的同一个权限重复出现很多次
修改后的SQL语句如下
SELECT
node
.
id
,
node
.
name
,
access
.
role_id
from
think_role_user
AS
user
,
think_access
AS
access
,
think_node
AS
node
WHERE
user
.
user_id
=
5
AND
access
.
role_id
=
user
.
role_id
AND
access
.
level
=
3
AND
access
.
node_id
=
node
.
id
LIMIT
0
,
30
其中NODE是权限节点，ACCESS是权限和用户所在组对应的节点，USER是用户与其所在组之间的表，这样写出来的SQL语句就能够正确查询了
我发现我错误的地方是多引入了另一个无关的表，就是说from里面多出来另一个表，一开始我以为没有差别，后来才发现多一个那样的表，同一个查询结果就会多出那个表的节点个数倍。。。
恩，很久没有写过SQL，今天算是复习了一下。很不错~~~~
......

对http request过来的数据，凡是含有单引号，双引号，反斜线等都进行加斜线处理。防止进行注入操作。
/*
堵SQL漏洞
*/
function quotes($content){

//如果magic_quotes_gpc=Off，那么就开始处理
if (!get_magic_quotes_gpc()) {
//判断$content是否为数组
if (is_array($content)) {
//如果$content是数组，那么就处理它的每一个单无
foreach ($content as $key=>$value) {
$content[$key] = mysql_real_escape_string($value);
}
} else {
//如果$content不是数组，那么就仅处理一次
$content = mysql_real_escape_string($content);
}

}
//返回$content
return $content;
}
当传递过来的参数是一个id的话。那么我们可以直接用 $id = intval($_GET('id'));进行int型处理（用settype也行）。
网上也有人是对其关键字过滤进行处理的，如：
function inject_check($sql_str){
return eregi('select|insert|update|delete|\'|\/\*|\*|\.\.\/|\.\/|union|into|load_file|outfile', $sql_str); // 进行过滤
}
我觉得此方法不可取是因为我在一个大的输入框里POST过来的数据或多或少都包含这些关键字，难道� ......

环境搭建：
windows Mobile的开发环境的搭建这里就不说了，不明白的朋友在网上搜下即可。
步骤概述:
1：PC上的SQL SERVER 需要开启远程连接。
2：Moblie模拟器需要通过ActiveSync连接，使其能够通过PC连网。(如果是手机的话，需要能够通过无线网络连入互联网)
详细说明：
1:SQL Server 2005开启远程连接。
1）.“开始->程序->Microsoft SQL Server 2005->配置工具->SQL Server 外围应用配置器”
2）.在“SQL Server 2005 外围应用配置器”页, 单击“服务和连接的外围应用配置器”
3）.然后单击展开“数据库引擎”，选中“远程连接”，在右边选中“本地连接和远程连接”，
再选择要使用的协议，单击“应用”，您会看到下消息：
“直到重新启动数据库引擎服务后，对连接设置所做的更改才会生效。”，单击“确定”按钮返回
4）.展开“数据库引擎”，选中“服务”，在右边单击“停止”，等到 MSSQLSERVER 服务停止，
然后单击“启动”，重新启动MSSQLSERVER 服务。
......

事务定义：
事务是单个的工作单元。如果某一事务成功，则在该事务中进行的所有数据更改均会提交，成为数据库中的永久组成部分。如果事务遇到错误且必须取消或回滚，则所有数据更改均被清除。
事务三种运行模式：
自动提交事务每条单独的语句都是一个事务。显式事务每个事务均以 BEGIN TRANSACTION 语句显式开始，以 COMMIT 或 ROLLBACK 语句显式结束。隐性事务在前一个事务完成时新事务隐式启动，但每个事务仍以 COMMIT 或 ROLLBACK 语句显式完成。
事务操作的语法：
BEGIN TRANSACTION
BEGIN DISTRIBUTED TRANSACTION
COMMIT TRANSACTION
COMMIT WORK
ROLLBACK WORK
SAVE TRANSACTION
BEGIN TRANSACTION
BEGIN TRANSACTION
标记一个显式本地事务的起始点。
BEGIN TRANSACTION将 @@TRANCOUNT 加 1。
BEGIN TRANSACTION 代表一点，由连接引用的数据在该点是逻辑和物理上都一致的。如果遇上错误，在 BEGIN TRANSACTION 之后的所有数据改动都能进行回滚，以将数据返回到已知的一致状态。每个事务继续执行直到它无误地完成并且用 COMMIT TRANSACTION 对数据库作永久的改动，或者遇上错误并且用 ROLLBACK TRANSACTION 语句擦除所有改动
语法
BEGIN TRAN [ SACT ......

create PROCEDURE [dbo].[AllDnn_NewsPublish_DeleteArticleByArticle]
@ArticleID nvarchar(200)
AS

declare @sql nvarchar(1000)
set @sql='DELETE dbo.Site_News_Article where ArticleID in ('+@ArticleID+')'
exec (@sql)
--[AllDnn_NewsPublish_DeleteArticleByArticle] '50,51' ......

存储过程中常用到的SQL事务处理语句格式可能会有如下几种:
第一种:
set xact_abort on
begin tran
        insert ...
        update ...
        delete ...
commit tran
第二种:
set xact_abort on
begin tran
        insert ...
        if @@error<>0 rollback tran
        update ...
        if @@error<>0 rollback tran
        delete ...
        if @@error<>0 rollback tran
commit tran
第三种:
set xact_abort on
begin tran&nbs ......

关于SQL语句

php对sql injection的防范

php对sql injection的防范

Windows Mobile 6.0连接SQL Server 2005(PC版)

数据库中的事务处理详解SQL Server Transaction

sql 语句 exec 执行字符串

SQL事务处理语句总结