其他答案
存储过程和带参数的SQL语句将传进的值当成一个字符串处理,就屏蔽掉了诸如or 1 = 1的SQL诸如问题,执行过程将传入的参数当成整体完整的处理,而不是直接添加到SQL语句末尾,是恒等的条件不成立了如传入参数@sql = ‘..... or 1 = 1’内部处理过程是select fromwhere 字段 = sql 而不是直接使用语句的select fromwhere 字段 = ....or 1 展开
2010-12-08 10:40
来自北京市
赞(0)点赞赞(0)举报
免责声明:问答内容均来源于互联网用户,房天下对其内容不负责任,如有版权或其他问题可以联系房天下进行删除。
