sql="update info ste content="+content+"";
如果变量content里有and,or,'之类字符怎么办?
如果变量content里有and,or,'之类字符怎么办?
解决方案 »
- 关于串口发送数据
- 如何用C#实现VS2008中的ToolBox的那种树形结构,就是TreeView的节点是Button的那样
- Winform下摄像头录制视频,想录制1分钟就停止录制,用线程实现,但是这样写界面直接卡死,过了一分钟后界面恢复正常,请各位高手解决一下
- c# 窗体事件调用
- c#的 DataGridView 真的很难用吗?有些问题没有办法解决吗???
- 用c#.NET做的托盘程序,在关机时由于该托盘的存在,计算机不能关机或重起。谁知道是什么原因?如何处理?
- 怎样把listview里指定的checkbox灰掉~?
- 安装.net2005是不是必须得先装sql server2005
- 求一段打印图片的完整代码!!
- 如何遍历一个指定的文件夹,然后从中得出所有的.XML文件,并在ListView当中列出其路径、名称。
- DataSet中数据怎样统计?就像SQL中的group by语句。在线等。
- processes的问题?
这属于sql注入漏洞
用户可以输入不同组合来入侵服务器。一般是要过滤掉其中的' , 等特殊字符
还有一种方法是使用存储过程将content作为参数,传到存储过程执行但存储过程太多,也不利于软件开发,要分情况自己考虑了。
最好为sql="update info ste content='"+content+"'";
来防止SQL炷入
sql="update info set content='"+content+"'";
content是读取txt文件的内容