看了很多网上别人写的代码,还是有些不懂

web中有下面代码
 strSQL="select * from [user] where UserId='"&Request("userid")& "' and pwd='"&Request("pwd")& "'"这跟我在SQL课上老师讲的不一样
也不知道格式
谁可以推荐下
有关这种类似的书啊
我想看看

解决方案 »

  1.   

    select * from [user] where UserId='"&Request("userid")& "' and pwd='"&Request("pwd")& "'"
    最好用参数形式,防注入,关键字加[]
      

  2.   

    这种写法很危险。
    看PHP或.NET书
      

  3.   

    这是asp的拼接sql语句的写法.其实就是把SQL语句中的一些参数用变量代替了.&符号表示连接/串接的意思如果Request("userid")值为180
    select * from [user] where UserId='"&Request("userid")
    就等同于
    select * from [user] where UserId='180'
      

  4.   

    你需要学习一下。1。 VB的基础知识。
    2。 SQL语句。
      

  5.   

    多到CSDN看看,多練習就可以了