一、SQL注入防范
在一个WEB动态页面中（例如aspx或者jsp），这个页面允许用户在输入框中输入字符，这个字符可以被引入到数据库中去进行查询（这里的查询是通用的说法，实际上包括了增删改查）操作。一个黑客在这个输入框中输入了一个畸形查询字符串，从而改变了原有的查询，这可以被用来插入，改变，或损害后台数据库。怎么可能呢？请看下面的例子。
       以登陆为例，后台代码通过构造SQL语句“select * from user where   username = 'txtUserName.Text.Trim() 'and password ='txtPwd.Text.Trim()';如果用户在输入框中输入用户名为admin'or'1'='1, 让后任意输入比如123为密码，则后台执行的SQL语句为select * from user where username='admin'or'1'='1'and password='123';这是，无论密码是否正确，最终SQL语句查询结果都不为空，这便是一个典型的SQL注入攻击，通过此种方式，攻击者成功绕过密码验证，登陆系统。一个典型的解决方案是构造“select count(*) from user where username='txtUserName.Text.Trim() 'and password = 'txtPwd.Text.Trim()'这样的SQL语句，这样如果攻击者采取上述攻击方式，则会因为返回 ......

比较常用的SQL语句语法(Oracle)
一.数据控制语句 (DML) 部分
1.INSERT  (往数据表里插入记录的语句)
INSERT INTO 表名(字段名1, 字段名2, ……) VALUES ( 值1, 值2, ……);
INSERT INTO 表名(字段名1, 字段名2, ……)  SELECT 字段名1, 字段名2, …… from 另外的表名;
字符串类型的字段值必须用单引号括起来, 例如: ’GOOD DAY’
如果字段值里包含单引号’ 需要进行字符串转换, 我们把它替换成两个单引号''.
字符串类型的字段值超过定义的长度会出错, 最好在插入前进行长度校验.
日期字段的字段值可以用当前数据库的系统时间SYSDATE, 精确到秒
或者用字符串转换成日期型函数TO_DATE(‘2001-08-01’,’YYYY-MM-DD’)
TO_DATE()还有很多种日期格式, 可以参看ORACLE DOC.
年-月-日 小时:分钟:秒 的格式YYYY-MM-DD HH24:MI:SS
INSERT时最大可操作的字符串长度小于等于4000个单字节, 如果要插入更长的字符串, 请考虑字段用CLOB类型,
方法借用ORACLE里自带的DBMS_LOB程序包.
INSERT时如果要用到从1开始自动增长的序列号, 应该先建立一个序列号
CREATE ......

一、基础
1、说明：创建数据库
CREATE DATABASE database-name
2、说明：删除数据库
drop database dbname
3、说明：备份sql server
--- 创建 备份数据的 device
USE master
EXEC sp_addumpdevice 'disk', 'testBack', 'c:\mssql7backup\MyNwind_1.dat'
--- 开始 备份
BACKUP DATABASE pubs TO testBack
4、说明：创建新表
create table tabname(col1 type1 [not null] [primary key],col2 type2 [not null],..)
根据已有的表创建新表：
A：create table tab_new like tab_old (使用旧表创建新表)
B：create table tab_new as select col1,col2… from tab_old definition only
5、说明：删除新表
drop table tabname
6、说明：增加一个列
Alter table tabname add column col type
注：列增加后将不能删除。DB2中列加上后数据类型也不能改变，唯一能改变的是增加varchar类型的长度。
7、说明：添加主键： Alter table tabname add primary key(col)
说明：删除主键： Alter table tabname drop primary key(col)
8、说明：创建索引：create [unique] index idxname on tabname(col….)
删除索引：drop index idxname
注：索引是 ......

数据库执行exec sp_renamedb 'oldname','newname'语句，重命名后，将数据库备份文件还原时，会出现错误，如图
因数数据文件与数据库名称不一致。
解决方法：可以找到数据文件的名称，将数据库还原名称跟数据库文件一致的名称，此时还原成功后，再修改数据库的名称。
注：数据库重命时，需将SQL服务器停止，重命名后再重新启动 ......

     '在引用里添加ADODB
Public vscn As ADODB.Connection
Public SQLString As String
SQLString = "Provider=SQLOLEDB.1;Password=密码;Persist Security Info=True;User ID=用" & _
"户;Initial Catalog=数据库名;Data Source=服务器名"
           
        vscn = New ADODB.Connection
        With vscn
            .Mode = ADODB.ConnectModeEnum.adModeReadWrite
            .CursorLocation = ADODB.CursorLocationEnum.adUseClient
            .ConnectionString = SQLString
            .ConnectionTimeout = 60
            .Open()
        End Wi ......

     '在引用里添加ADODB
Public vscn As ADODB.Connection
Public SQLString As String
SQLString = "Provider=SQLOLEDB.1;Password=密码;Persist Security Info=True;User ID=用" & _
"户;Initial Catalog=数据库名;Data Source=服务器名"
           
        vscn = New ADODB.Connection
        With vscn
            .Mode = ADODB.ConnectModeEnum.adModeReadWrite
            .CursorLocation = ADODB.CursorLocationEnum.adUseClient
            .ConnectionString = SQLString
            .ConnectionTimeout = 60
            .Open()
        End Wi ......

sql server的随机函数newID()和RAND()　　
　　SELECT * from Northwind..Orders ORDER BY NEWID()
　　--随机排序
　　SELECT TOP 10 * from Northwind..Orders ORDER BY NEWID()
　　--从Orders表中随机取出10条记录　　
　　示例　　
　　A.对变量使用 NEWID 函数
　　以下示例使用 NEWID() 对声明为 uniqueidentifier 数据类型的变量赋值。在测试 uniqueidentifier 数据类型变量的值之前，先输出该值。
　　-- Creating a local variable with DECLARESET syntax.
　　DECLARE @myid uniqueidentifier
　　SET @myid = NEWID()
　　PRINT 'Value of @myid is '+ CONVERT(varchar(255), @myid)
　　下面是结果集：
　　Value of @myid is 6F9619FF-8B86-D011-B42D-00C04FC964FF
　　注意：
　　NEWID 对每台计算机返回的值各不相同。所显示的数字仅起解释说明的作用。　　
　　随机函数：rand()
　　在查询分析器中执行：select rand()，可以看到结果会是类似于这样的随机小数：0.36361513486289558，像这样的小数在实际应用中用得不多，一般要取随机数都会取随机整数。那就看下面的两种随机取整数的方法： 　　
　　1、
　　A：sel ......