热门标签： c c# c++ asp asp.net linux php jsp java vb Python Ruby mysql sql access Sqlite sqlserver delphi javascript Oracle ajax wap mssql html css flash flex dreamweaver xml

最新文章 : sql

防止SQL注入攻击的注意事项

防止SQL注入攻击的注意事项
一. SQL Injection及其防范的基本知识
可能大家都知道，SQL注入主要是利用字符型参数输入的检查漏洞。
比如说，程序中有这样的查询：
string sql = "SELECT * from SiteUsers WHERE UserName='" + userName + "'";
其中的userName参数是从用户界面上输入的。
如果是正常的输入，比如“Peter”，SQL语句会串接成：
"SELECT * from SiteUsers WHERE UserName='Peter'";
如果攻击者输入的是下面的字符串：
"xxx'; DROP TABLE SiteUsers WHERE 1=1 or UserName='xxx"
此时SQL语句会变成下面这个样子：
"SELECT * from SiteUsers WHERE UserName='xxx'; DROP TABLE SiteUsers WHERE 1=1 or UserName='xxx'";
其结果，得到执行的是两个SQL语句，第二个语句的后果就比较严重了。
防止注入的方法其实很简单，只要把用户输入的单引号变成双份就行了：
string sql = "SELECT * from SiteUsers WHERE UserName='" + userName.Replace("'","''") + "'";
这样，如果输入的是上面那种恶意参数，整个SQL语句会变成：
"SELECT * from SiteUsers WHERE UserName='<STRONG>xxx''; DROP TABLE ......

SQL游标原理和使用方法

SQL游标原理和使用方法
数据库开发过程中，当你检索的数据只是一条记录时，你所编写的事务语句代码往往使用SELECT INSERT 语句。但是我们常常会遇到这样情况，即从某一结果集中逐一地读取一条记录。那么如何解决这种问题呢？游标为我们提供了一种极为优秀的解决方案。
1.1 游标和游标的优点
在数据库中，游标是一个十分重要的概念。游标提供了一种对从表中检索出的数据进行操作的灵活手段，就本质而言，游标实际上是一种能从包括多条数据记录的结果集中每次提取一条记录的机制。游标总是与一条T_SQL 选择语句相关联因为游标由结果集（可以是零条、一条或由相关的选择语句检索出的多条记录）和结果集中指向特定记录的游标位置组成。当决定对结果集进行处理时，必须声明一个指向该结果集的游标。如果曾经用 C 语言写过对文件进行处理的程序，那么游标就像您打开文件所得到的文件句柄一样，只要文件打开成功，该文件句柄就可代表该文件。对于游标而言，其道理是相同的。可见游标能够实现按与传统程序读取平面文件类似的方式处理来自基础表的结果集，从而把表中数据以平面文件的形式呈现给程序。
我们知道关系数据库管理系统实质是� ......

SQL中获得EXEC后面的sql语句或返回值的方法

SQL中获得EXEC后面的sql语句或返回值的方法
前言：在数据库程序开发的过程中,我勱们经常会碰到学习利用EXEC来执行一段需要返回某些值的sql语句（通常是构造动态sql语句时使用），或者在一个HTML存储过程中利用EXEC调用另一个HTML有返回值的存储过程（必须获得返回值），那么如何获得这些返回值呢?
1.EXEC执行sql语句的情况
declare @rsql varchar(250)
declare @csql varchar(300)
declare @rc nvarchar(500)
declare @cstucount int
declare @ccount int
set @rsql='(select Classroom_id from EA_RoomTime where zc='+@zc+' and xq='+@xq+' and T'+@time+'=''否'') and ClassroomType=''1'''
--exec(@rsql)
set @csql='select @a=sum(teststucount),@b=sum(classcount) from EA_ClassRoom where classroom_id in '
set @rc=@csql+@rsql
exec sp_executesql @rc,N'@a int output,@b int output',@cstucount output,@ccount output--将exec的结果放入变量中的做法
--select @csql+@rsql
--select @cstucount
上面的@rc这个HTMLsql语句的功能是找出特定时间段里所有有空的教室数量以及这些教室所能容纳的学生人数,因为涉及到学习动态的sql语句（@csql这句 ......

SQL行转列的动态构造方法

SQL行转列的动态构造方法
/*假设有张学生成绩表(tb)如下:
姓名课程分数
张三语文 74
张三数学 83
张三物理 93
李四语文 74
李四数学 84
李四物理 94
想变成(得到如下结果)：
姓名语文数学物理
---- ---- ---- ----
李四 74 84 94
张三 74 83 93
-------------------
*/
create table tb(姓名 varchar(10) , 课程 varchar(10) , 分数 int)
insert into tb values('张三' , '语文' , 74)
insert into tb values('张三' , '数学' , 83)
insert into tb values('张三' , '物理' , 93)
insert into tb values('李四' , '语文' , 74)
insert into tb values('李四' , '数学' , 84)
insert into tb values('李四' , '物理' , 94)
go
--SQL SERVER 2000 静态SQL,指课程只有语文、数学、物理这三门课程。(以下同)
select 姓名 as 姓名 ,
max(case 课程 when '语文' then 分数 else 0 end) 语文,
max(case 课程 when '数学' then 分数 else 0 end) 数学,
max(case 课程 when '物理' then 分数 else 0 end) 物理
from tb
group by 姓名
--SQL SERVER 2000 动态SQL,指课程不止语文、数学、物理这三门课程。(以下 ......

同步两个Sql server

--1:环境
　　服务器环境:
　　机器名称： ZehuaDb
　　操作系统：Windows 2000 Server
　　数据库版本：SQL 2000 Server 个人版
　　客户端
　　机器名称：Zlp
　　操作系统：Windows 2000 Server
　　数据库版本：SQL 2000 Server 个人版
　　--2:建用户帐号
　　在服务器端建立域用户帐号
　　我的电脑管理->本地用户和组->用户->建立
　　UserName:zlp
　　UserPwd:zlp
　　--3:重新启动服务器MSSQLServer
　　我的电脑->控制面版->管理工具->服务->MSSQLServer 服务
　　(更改为：域用户帐号,我们新建的zlp用户 .\zlp,密码:zlp)
　　--4:安装分发服务器
　　A:配置分发服务器
　　工具->复制->配置发布、订阅服务器和分发->下一步->下一步(所有的均采用默认配置)
　　B:配置发布服务器
　　工具->复制->创建和管理发布->选择要发布的数据库(SZ)->下一步->快照发布->下一步->
　　选择要发布的内容->下一步->下一步->下一步->完成
　　C:强制配置订阅服务器(推模式,拉模式与此雷同)
工具->复制->配置发布、订阅服务器和分发->订� ......

sql server 与 oracle语法对比.

ORACLE与SQL SERVER语法区别

一、数据类型
ORACLE与SQL SERVER在数据类型的对比如下：

SQL SERVER
ORACLE
数字类型
DECIMAL[(P[, S])]
NUMBER[(P[, S])]
NUMERIC[(P[, S])]
NUMBER[(P[, S])]
FLOAT[(N)]
NUMBER[(N)]
INT
NUMBER
SMALLINT
NUMBER
TINYINT
NUMBER
MONEY
NUMBER[19,4]
SMALLMONEY
NUMBER[19,4]
字符类型
CHAR[(N)]
CHAR[(N)]
VARCHAR[(N)]
VARCHAR2[(N)]
日期时间类型
DATETIME
DATE
SMALLDATETIME
DATE
其它
TEXT
CLOB
IMAGE
BLOB
BIT
NUMBER（1）

二、表（主键、外键、CHECK、UNIQUE、DEFAULT、INDEX）
在创建表及其主键、外键、CHECK、UNIQUE、DEFAULT、INDEX时，SQL SERVER 与ORACLE的语法大致相同。主要区别如下：
（1） Oracle定义表字段的default属性紧跟字段类型之后，如下：
    Create table MZ_Ghxx
( ghlxh number primay key ,
    rq     date   default sysdate not null,
….
)
而不能写成
    Create table MZ_Ghxx
( ghlxh&nb ......

sql server 与 oracle语法对比.

总记录数:4346; 总页数:725; 每页6 条; 首页上一页 [193] [194] [195] [196] 197 [198] [199] [200] [201] [202] 下一页尾页