在写存储过程时经常会遇到需要拼接SQL语句的情况,一般情况下仅仅是为了执行拼接后的语句使用exec(@sql)即可。而今天的一个存储过程却需要获取动态SQL的查询结果。需求描述:在某表中根据Id值查询Cost值(表名不确定但表结构确定,如下面的Product表)如果不考虑获取返回值,我们这样写即可:...
分类:
数据库 时间:
2014-11-06 21:42:05
阅读次数:
225
最近由于项目需要,必须使用C#配合Oracle来进行开发,在开发的过程中,发现有些查询无法正确获取数据。例如:Select * From tabParam Where ParamCode = :ParamCode And ParamName = :ParamName看起来很简单的SQL查询语句,但是...
分类:
Web程序 时间:
2014-11-05 18:55:58
阅读次数:
189
0x01 注入漏洞简介注入漏洞是web应用中最常见的安全漏洞之一,由于一些程序没有过滤用户的输入,攻击者通过向服务器提交恶意的SQL查询语句,应用程序接收后错误 的将攻击者的输入作为原始SQL查询语句的一部分执行,导致改变了程序原始的SQL查询逻辑,额外的执行了攻击者构造的SQL查询语句,从而导致注...
分类:
其他好文 时间:
2014-11-05 14:39:21
阅读次数:
220
一、基础 1、说明:创建数据库 CREATE DATABASE database-name 2、说明:删除数据库 drop database dbname 3、说明:备份sql server --- 创建 备份数据的 device USE master EXEC sp_addumpdevice ‘disk‘, ‘test...
分类:
数据库 时间:
2014-11-05 13:14:37
阅读次数:
199
作者:viekst0x01 注入漏洞简介注入漏洞是web应用中最常见的安全漏洞之一,由于一些程序没有过滤用户的输入,攻击者通过向服务器提交恶意的SQL查询语句,应用程序接收后错误的将攻击者的输入作为原始SQL查询语句的一部分执行,导致改变了程序原始的SQL查询逻辑,额外的执行了攻击者构造的SQL查询...
分类:
其他好文 时间:
2014-11-05 00:23:01
阅读次数:
323
由于考虑到数据库的安全性,不被轻易SQL注入,执行查询语句时,一般不使用直接拼接的语句,而是使用参数传递的方法。然后在使用参数传递的方法中时,发现当使用like方式查询数据时,很容易出现一个问题。错误案例:复制代码代码如下:String myname = "abc";String sql = "se...
分类:
移动开发 时间:
2014-11-04 19:26:23
阅读次数:
203
问题描述: 如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句,那么应用将很可能遭受到SQL注入攻击,正如下面的例子:123$unsafe_variable = $_POST['user_input']; mysql_query("INSERT INTO `table` (`colum.....
分类:
数据库 时间:
2014-11-03 14:30:14
阅读次数:
264
读书笔记:《Microsoft SQL Server 2008技术内幕:T-SQL查询》=============== T-SQL查询的执行顺序==============================T-SQL查询的示意图===============
分类:
数据库 时间:
2014-10-30 16:52:31
阅读次数:
175
“SQL性能优化是一种黑魔法就像炼金术一样:各种配方难解晦涩,只有一小部分圈内人才能理解。”这是一种误解,SQL数据库使用的是大家公知的算法来实现可以预期的执行性能。然而,问题是,人们很容易写出不能发挥最高效算法的SQL查询语句,因而也容易产生无法预期的性能结果。下面是5道关于SQL性能优化小测试题...
分类:
数据库 时间:
2014-10-23 15:50:46
阅读次数:
146
