关于SQLServer存储过程动态拼接,模糊查询的处理
在进行sql存储过程的动态拼接时,有可能会有特殊符号,如" ' "这种符号的拼接,造成数据库的安全隐患,造成sql注入危险。为了避免sql注入,sqlserver2005之后中可以用sp_executesql进行动态的sql语句参数化,避免了sql注入的可能sp_executesql语法如下:declare @sqlstr nvarchar(max)declare @user varch
原创
2015-04-07 09:44:06 ·
6586 阅读 ·
0 评论