在VS2010的“服务器资源管理器”联接了一个SQL 2000的数据库(如myDB),
然后在WindowsFormsApplication中新建了一个DataSet,将myDB的一个表拖到DataSet的xsd视图中,在对TableAdapter添加查询中...
然后在WindowsFormsApplication中新建了一个DataSet,将myDB的一个表拖到DataSet的xsd视图中,在对TableAdapter添加查询中发现不能使用@xxx作为参数,参数会变成 ? ,请问为何会出现这种情况 ?
展开
1个回答
展开全部
是个参数,你在后面就要把那个值放上去,主要是为了防止注入溢出这个漏洞。比如像以前用sql是类似这样的:String sql = "select * from tb_users where ip = '"+ ip +"'",这样子的嘛,那个ip就是个参数,但有些人就在传ip这个参数时就传个ip类似等于 ' abc or 1=1 '这样传到后台的那个sql就变成了String sql = select * from tb_users where ip = '' acb or 1=1 '',这样在数据库因为有or所以都会通过。就入侵了。类似这样。
是取代这样用的,有多少问号就有多少个参数。
是取代这样用的,有多少问号就有多少个参数。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
名片
2024-10-28 广告
Altair HyperWorks软件授权是优菁科技(上海)有限公司为客户提供的重要服务之一。我们确保每位客户都能合法、安全地使用HyperWorks这一先进的CAE(计算机辅助工程)平台。通过与Altair公司的紧密合作,我们为客户提供正...
点击进入详情页
本回答由名片提供
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
