我們剛剛獲得了以下代碼,作爲離岸開發人員提供的新應用程序中複雜搜索查詢的解決方案。我對使用動態SQL持懷疑態度,因爲我可以使用';'關閉SQL語句。然後執行將在數據庫上執行的討厭! 關於如何解決噴射攻擊的任何想法? ALTER procedure [dbo].[SearchVenues] --'','',10,1,1,''
@selectedFeature as varchar(MAX),
@
我們正在嘗試更新我們的經典asp搜索引擎,以防止SQL注入。我們有一個VB 6函數,它通過基於各種搜索參數連接查詢來動態構建查詢。我們已經將這個轉換爲一個存儲過程,對於除關鍵字以外的所有參數都使用動態sql。 關鍵字的問題在於,用戶提供了可變數字詞,我們希望爲每個關鍵字搜索多個列。由於我們無法爲每個關鍵字創建單獨的參數,因此我們如何才能構建安全的查詢? 例子: @CustomerId AS INT
DBA在這裏工作是試圖把我直截了當的存儲過程變成一個動態的SQL怪物。無可否認,我的存儲過程可能不如他們想要的那麼快,但我不禁相信有足夠的方式來做基本上是有條件的連接。 這裏是我的存儲過程的一個例子: SELECT
*
FROM
table
WHERE
(
@Filter IS NULL OR table.FilterField IN
(SELECT Value FRO
我正在嘗試編寫存儲過程,並且根據特定的列值,我希望能夠更改從中選擇的表格。我會盡力舉一個例子: SELECT ItemNumber,
ItemType,
Description
FROM
CASE ItemType
WHEN 'A' THEN TableA
ELSE TableB
END
WHERE
CASE ItemType
WHEN 'A' THE