sql注入，所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的，这类表单特别容易受到SQL注入式攻击．
　　当应用程序使用输入内容来构造动态sql语句以访问数据库时，会发生sql注入攻击。如果代码使用存储过程，而这些存储过程作为包含未筛选的用户输入的字符串来传递，也会发生sql注入。sql注入可能导致攻击者使用应用程序登陆在数据库中执行命令。如果应用程序使用特权过高的帐户连接到数据库，这种问题会变得很严重。在某些表单中，用户输入的内容直接用来构造（或者影响）动态sql命令，或者作为存储过程的输入参数，这些表单特别容易受到sql注入的攻击。而许多网站程序在编写时，没有对用户输入的合法性进行判断或者程序中本身的变量处理不当，使应用程序存在安全隐患。这样，用户就可以提交一段数据库查询的代码，根据程序返回的结果，获得一些敏感的信息或者控制整个服务器，于是sql注入就发生了。
注入大致方法：
　　先猜表名
　　And (Select count(*) from 表名)<>0
　　 ......

SQL中CONVERT函数最常用的是使用convert转化长日期为短日期
如果只要取yyyy-mm-dd格式时间, 就可以用 convert(nvarchar(10),field,120)
120 是格式代码, nvarchar(10) 是指取出前10位字符.
SELECT CONVERT(nvarchar(10), getdate(), 120)
SELECT CONVERT(varchar(10), getdate(), 120)
SELECT CONVERT(char(10), getdate(), 120)
=======================================================
使用 CONVERT：
CONVERT (data_type[(length)], expression [, style])
select CONVERT(varchar, getdate(), 120 )
2004-09-12 11:06:08
select replace(replace(replace(CONVERT(varchar, getdate(), 120 ),\'-\',\'\'),\' \',\'\'),\':\',\'\')
20040912110608
select CONVERT(varchar(12) , getdate(), 111 )
2004/09/12
select CONVERT(varchar(12) , getdate(), 112 )
20040912
select CONVERT(varchar(12) , getdate(), 102 )
2004.09.12
select CONVERT(varchar(12) , getdate(), 101 )
09/12/2004
select CONVERT(varchar(12) , getdate(), 103 )
12/09/2004
select CONVERT(varchar(12) , getdate(), 104 )
12.09.2004
select CO ......

 sql语句，取出表A中的第31条到40条记录（表A以自动增长的ID做主键，注意ID可能是不连续的）
-->select top 10 * from a where id not in (select top 30 id from a order by id) order by id
    查询前十条记录，但条件是：ID不在前三十条的ID里面
-->select top 10 * from (select top 40 * from a order by id desc(降序))
   查询前十条记录，但条件是：ID取出的是以ID按降序排列的前四十条记录里面的
------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------
  聚集索引和非聚集索引——  
         用一个现实中的例子说明以助理解。我们的汉语字典的正文本身就是一个聚集索引。比如，我们要查“安”字，就会很自然地翻开字典的前几页，因为“安”的拼音是“
an”，而按照拼音排序汉字的字典是以英文字母“a”开头并以“z”结尾的，那么“安”字就 ......

 作者： sealyu   日期：2008-04-17
在SQL Server 中，如果给表的一个字段设置了默认值，就会在系统表sysobjects中生成一个默认约束。
如果想删除这个设置了默认值的字段（假设此字段名column1），
执行“ALTER TABLE table1 DROP COLUMN column1”时就会报错：
The object 'DF__xxxxxxxxxxx' is dependent on column 'column1'.
ALTER TABLE DROP COLUMN column1failed because one or more objects access this column.
所以在删除此字段时需要先将系统表中的对应默认约束删除， 可以使用下面的脚本进行删除：
-- this script drops the default constraint which is generated by the setting of default value.
DECLARE @tablename VARCHAR(100), @columnname VARCHAR(100), @tab VARCHAR(100)
SET @tablename='CountryGroupEmailAndWaitAux'
SET @columnname='actionOfHasNoValidEmail'
declare @defname varchar(100)
declare @cmd varchar(100)
select @defname = name
from sysobjects so
JOIN sysconstraints sc
ON so.id = sc.constid
WHERE object_name(so.parent_obj) = @tablename
AND so.xtype = 'D'
AND sc.col ......

 
基于SQL Server 分页存储过程的演进 收藏
针对数据库数据在UI界面上的分页是老生常谈的问题了，网上很容易找到各种“通用存储过程”代码，而且有些还定制查询条件，看上去使用很方便。笔者打算通过本文也来简单谈一下基于SQL SERVER 2000的分页存储过程，同时谈谈SQL SERVER 2005下分页存储过程的演进。
 
在进行基于UI显示的数据分页时，常见的数据提取方式主要有两种。第一种是从数据库提取所有数据然后在系统应用程序层进行数据分页，显示当前页数据。第二种分页方式为从数据库取出需要显示的一页数据显示在UI界面上。
以下是笔者对两种实现方式所做的优缺点比较，针对应用程序编写，笔者以.NET技术平台为例。
类别
SQL语句
代码编写
设计时
性能
第一种
语句简单，兼容性好
很少
完全支持
数据越大性能越差
第二种
看具体情况
较多
部分支持
良好，跟SQL语句有关
 
对于第一种情况本文不打算举例，第二种实现方式笔者只以两次TOP方式来进行讨论。
在编写具体SQL语句之前，定义以下数据表。
数据表名称为：Production.Product。Production为SQL SERVER 2005中改进后的数据表架构，对举例不造成影响。
包含的字段 ......

 今天在项目中有一问题，在网上查询了case的用法，帖出来和大家分享下。
 问题描述：在一张表中有一字段bit类型，表示此条数据是否被锁定，在页面上有一按钮是对此条数据进行锁定和解锁的，选择页面中的数据，点击这个按钮，如果这条数据是锁定的，就解锁；如果是未说定的就锁定，这样就用一条语句来实现。后来想到以前使用过sql中的case语句能实现这种功能。查询了一下，果然好用，呵呵.....
CASE
计算条件列表并返回多个可能结果表达式之一。
CASE 具有两种格式：
简单 CASE 函数将某个表达式与一组简单表达式进行比较以确定结果。
CASE 搜索函数计算一组布尔表达式以确定结果。
两种格式都支持可选的 ELSE 参数。
语法
简单 CASE 函数：
CASE input_expression
    WHEN when_expression THEN result_expression
        [ ...n ]
    [
        ELSE else_result_expression
    END
CASE 搜索函数：
CASE
    WHEN Boolean_expression THEN result_expression
     & ......