使用動態sql的方法防止sql注入

原創 Lugyedo 2018-08-28 23:19

事例SQL語句如下:

DECLARE @variable NVARCHAR(100)
DECLARE @SQLString NVARCHAR(1024)
DECLARE @ParmDefinition NVARCHAR(500)
SET @SQLString = N'SELECT OEV.Name, OEV.Position, Base_Employee.Address, OEV.Telephone, OEV.MobilePhone, OEV.Email, OEV.RealDepID
                   FROM Base_OrganizeEmployeeView AS OEV
                   JOIN Base_Employee
                   ON Base_Employee.Emp_ID = OEV.Emp_ID
                   WHERE (OEV.Account LIKE ''%'' + @searchFilter + ''%'' OR OEV.Name LIKE ''%'' + @searchFilter + ''%'' OR OEV.Position LIKE ''%'' + @searchFilter + ''%'' ) AND STATE = 1'
SET @parmDefinition = N'@searchFilter varchar(100)'
SET @variable = N'k'
EXECUTE sp_executesql @SQLString, @ParmDefinition, @searchFilter = @variable

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

SQL語句大全,所有的SQL都在這裏(1.5萬字長文)

SQL語句大全,所有的SQL都在這裏 本文轉摘自微信公衆號Python數據科學,僅供學習備份用 https://mp.weixin.qq.com/s/6j-bxhxoU7SKl4LqSDRvyQ 一、基礎 1、說明:創建數據庫 C

摩壳佬卡佛特 2020-07-08 12:17:40

SQL 01-簡介 標準命令 基本語法 運算符 表達式

SQL(結構化查詢語言)是用於訪問和操作數據庫中的數據的標準數據庫編程語言。 SQL是關係數據庫系統的標準語言。所有關係數據庫管理系統(RDMS),如MySQL、MS Access、Oracle、Sybase、Informix、P

LiuDi1999 2020-07-08 12:26:19

Sql Server2000裏面獲得數據庫裏面所有的用戶表名稱和對應表的列名稱

--1:獲取當前數據庫中的所有用戶表 select Name from sysobjects where xtype='u' and status>=0 -- select name from syscolumns where id=ob

bluelazyboy 2020-07-08 12:23:28

SQL 語法快速入門

--數據操作SELECT --從數據庫表中檢索數據行和列INSERT --向數據庫表添加新數據行DELETE --從數據庫表中刪除數據行UPDATE --更新數據庫表中的數據--數據定義CREATE TABLE --創建一個數據庫表D

雄牛 2020-07-08 12:18:30

SSM鏈接數據庫失敗的問題

一、環境; IDEA+SSM 二、問題,數據庫鏈接不成功;com.mysql.jdbc.exceptions.jdbc4.MySQLNonTransientConnectionException: Could not create

摩壳佬卡佛特 2020-07-08 12:17:40

索引,視圖和存儲過程的利弊

作者:王奎    我的博客:www.marksaas.com 在網上看到有關視圖和存儲過程的一道面試題,就整理一下。本文參考到維基百科還有其他網站的的一些解釋。 索引:索引是一本書籍的重要組成部分,它把書中的重要名詞列羅列出來,並

MarkSaas 2020-07-08 11:46:21

查詢多個表放在一個集合中用union做連接

SELECT blood,BG,create_date,OGTT,flag FROM ( (SELECT "空腹血糖" AS blood,t.`BG`,t.create_date,t.`OGTT`,t.`BGFLAG` AS flag

Old丶Seven 2020-07-08 11:20:47

ORACLE 創建用戶,權限等

默認的:最高權限用戶:system 密碼:manager(我自己system)  管理員權限用戶:sys 密碼:change_on_install  普通用戶:scott

Old丶Seven 2020-07-08 11:20:47

sql語句中選取限制字段的不同可能會對運行效率產生質的影響

      做項目遇到的一個問題,稀奇古怪的!發來分享下!     先看下一條sql語句: select t1.safecode,t1.corpcode,t1.corpname,sum(t.zxamtusd) from 表1 as t,

Ankon 2020-07-08 11:07:50

Flink實戰教程-自定義函數之標量函數

文章目錄背景實例講解定義函數通過程序註冊函數通過sql註冊函數 背景 flink本身給我們提供了大量的內置函數,已經能滿足我們絕大部分的需求,但是如果確實是碰到了一些特殊的場景,無法滿足我們的需求的時候,我們可以自定義函數來解決,

大数据技术与应用实战 2020-07-08 11:07:06

Flink教程-flink 1.11使用sql將流式數據寫入文件系統

文章目錄滾動策略分區提交分區提交觸發器分區時間的抽取分區提交策略完整示例定義實體類自定義source寫入file flink提供了一個file system connector,可以使用DDL創建一個table,然後使用sql的方

大数据技术与应用实战 2020-07-08 11:07:06

MySQL解壓版安裝過程

1、首先下載解壓版的MySQL,鏈接:https://dev.mysql.com/downloads/file/?id=485812 2、解壓到對應文件夾 3、使用管理員身份打開命令行工具,進入到mysql的bin目錄中,並執行mysq

Agwenbi 2020-07-08 11:00:31

node操作數據庫基本語法

//引入mysql const mysql = require("mysql"); //設置連接信息 let options = { host:"localhost", user:"root", passwor

Agwenbi 2020-07-08 11:00:30

sql語句中的""

select g.*,p.prov_id from ex_gyjx_prod g,ut_pub_prov p where  g.pdt_province = p.province_name AND g.pdt_city='ALL'  AN

小小妮w 2020-07-08 10:42:50

sql數據庫習題總集

基礎查詢 1.顯示所有年齡不到20歲的所有男生信息 Use jxgl go Select * From s Where sex=’男’ and datediff(yy,birth,getdate())<20 2.查詢書名中含有“

泡面加个肠 2020-07-08 10:32:22