access查询上半年语句_[原创]ACCESS 查询时使用 LIKE语句

最新推荐文章于 2024-02-26 11:10:19 发布
原创 最新推荐文章于 2024-02-26 11:10:19 发布 · 617 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#access查询上半年语句

文章介绍了ASP.NET页面中使用LIKE语句进行ACCESS查询的方法。直接拼接语句会有SQL注入风险,采用参数式传递又遇查询无结果问题,后引入instr()函数解决。同时提醒用此方法仍需过滤参数,还给出了测试注入的方法及注入原理。

文章来源:

西宁威势电子信息服务有限公司

发布时间:2011-3-19    浏览次数:13896    tags:OleDbParameter acces

在ASP.NET页面中,如果要用到LIKE语句查询,可以直接像写ASP一样拼接,这样查询是没有问题的,拼接出来的语句如下:

sql = @"select * from User where [UserName] like '%" + this.TB_UserName.Text + "%' and [National] like '%" + this.DDL_National.SelectedValue.ToString() + "%'   ....

点击页面查询按钮,能正常返回结果。

当然稍有安全常识的人都知道,这样的写法直接拿到数据库查询是肯定会引起问题的,那就是SQL注入,所以在查询前一定要对拼接过来的值进行验证。但是验证的话又太麻烦,于是可以用参数式传递来解决,SQL语句如下:

sql = "select * from QhWins_soldier where [UserName] like '%@UserName%' and [National] like '%@National%'  .....

OK,再进一步定义参数,把参数放在OleDbCommand 的实例cmd中去,带到数据库查询,哈哈,心里想的美滋滋的,测试一下,竟然查询不到任何结果,而页面也不报错,TMD,郁天下之大闷也!搞来搞去,原来是MS的BUG,美梦破裂!

于是走曲线救国,引入instr()函数,SQL语句如下:

sql = "select * from QhWins_soldier where instr([UserName],@UserName) and instr([National],@National)  and  ....

还是参数式传参,问题解决!

注意,用此方法还是要对参数进行过滤,不然还是会有注入的,测试方法:

.net 搜索注入,原创,哈哈

在搜索中输入

关键字) and (1=1  ,然后搜索,可以注入instr()函数,此方法适合注入:用ACCESS做的站,用到查询语句的时候。

原理:

语法错误 (操作符丢失) 在查询表达式......省略

改进后语句变成下面的,

'instr([Birthplace],西宁) and (1=1) order by [id] desc'

成功注入

JjjjjNP
关注
SQL查询语句通配符与ACCESS模糊查询like的解决方法
01-02
% 与任何个数的字符匹配_ 与单个字符匹配正文我今天在写个页面的候,也很郁闷,表中明明有记录,但在ASP里就是搜索不到,理论的sql语句如下:Select * FROM t_food Where t_food.name like ‘*苹果*’去GOOGLE搜搜...
ACCESS中关于SQL语句的转义字符
09-11
ACCESS是一个功能强大且灵活的关系数据库管理系统,在构建数据库应用程序,SQL语句扮演着至关重要的角色。但是,在编写SQL语句,需要注意转义字符的使用,以避免语法错误和安全漏洞。下面,我们将详细介绍ACCESS...
ACCESSLIKE
dibengcheng6179的博客
06-07 402
在w3school学习了SQL课程,知道在数据库中使用的命令符、函数等。 课程中给出的实例大多是在SQL Server 中使用的,最近开始尝试在MS Access中运行下。二者有一定的差异,比如今天遇到的问题:LIKE 操作符。 LIKE用于在WHERE句中搜索指定模式,比如以什么开头、结尾、中间有哪个内容。。。 在给出的例子中,要配合使用“%”,用做...
ACCESSLIKE的用法
jhonguangtao的专栏
05-25 1910
Accesslike的通配符用法是这样: “?”表示任何单一字符; “*”表示零个或多个字符; “#”表示任何一个数字 所以应该是: select * from tablename where fieldname like *XX* 原来在SQL SERVER 里是用%%的,在ACCESS里是用**号的,怪不得都找不到数据! 但如果在VS2005的TableAdapter里又要用%%
Access数据库LIKE问题
weixin_33911824的博客
10-16 386
accesslike的通配符用法是这样:“?”表示任何单一字符; “*”表示零个或多个字符; “#”表示任何一个数字有候用%作为通配符不行,需要用*号作为通配符select * from tablename where title like '%afish%';select * from tablename where title like '*afish*'; 这个需要在access里设置...
access查询上半年语句_ACCESS中的查询语句
weixin_39785165的博客
12-20 501
2019-02-02 回答学生表 隐藏表格的一行 固定表格第一行 如果access数据库表中有一个字段是自动增加的序号,如何插入一行 将a表的aa列求和. 做为一行,追加到b表的bb列(bb列已存在).用access语句怎么写? 为什么报表中只有一行? 动态表格:删除一行 关于列表控件选中一行? 如何在textbox显示表中一行? 在表中删除一行记录 如何动态删去表格一行 课程表 建立数据库 1、...
ACCESS中SQL语句之“like语句写法
aolia2000的专栏
08-02 1488
http://www.zxbc.cn/html/20080408/33138.html   一般sql中的like语句,通配符是%, 但select * from table1 where name like "zh%" 一句在access中没有效,需要改成:selec
ACCESS_process.rar_access查询_查询_查询系统
09-20
综上所述,"ACCESS_process.rar_access查询_查询_查询系统"提供的资源可能包括了Access查询系统的基础教程、实例演示或脚本代码,帮助用户提升在数据库管理和数据分析方面的能力。通过学习和实践,无论是日常的数据...
用SQL语句查找Access中某表是否存在的小技巧
09-10
总的来说,虽然在Access使用SQL语句查询表的存在可能比在其他数据库系统中复杂,但通过理解和利用`MSysObjects`系统表,我们可以有效地解决这个问题。这种方法尤其适用于编程环境中,如VBA,其中你可能需要动态地...
access查询上半年语句_{access数据库}查询典型语句
weixin_39630247的博客
12-20 672
数据库的分组查询和统计查询在groupby之后不能使用where,只能使用having,在groupby之前可以使用where,即表示对过滤后的结果分组selectsname,sum(score)froms_kgroupbysnameselectcount(distinctsname)froms_kselectsname,avg(score)froms_kgroup...
access 中sql语句之“like语句的注意写法
网络Online
04-08 7087
??//From:www.yiqiewang.com select * from table1 where name like "zh%" 上面一句在access中没有效,需要改成:select * from table1 where name like "zh*"; 在asp中,需要改成:select * from table1 where name like "zh%%"; Access里l...
Access数据库的Like查询
rosefish的专栏
10-13 6292
原文网址:http://www.china-askpro.com/msg15/qa22.shtmlQ NewStar:     操作系统:PNT4.0 SP5+IIS4+Access 97     工具:ASP     问题:我有一个客户档案数据库,有大概13000条数据,用ASP提取数据库记录的候用     select name, address, lxr, tel from khd
access查询上半年语句_技术分享:Access 手工注入
weixin_31834275的博客
12-30 195
Access 注入:Access网站搭配:Asp+Access+Apache测试网站:http://localhost/sql/0/index.asp注入网站:http://localhost/sql/0/Production/PRODUCT_DETAIL.asp?id=1513首先:http://localhost/sql/0/Production/PRODUCT_DETAIL.asp?id=1...
access查询上半年语句_[access查询]管理access查询语句
weixin_32950759的博客
12-29 240
 间:2007-12-01 23:23:08作 者:摘 要:导入ACCESS查询语句到一个表中,这对管理查询来说是相当方便的,你要做的就是复制这些代码,然后运行testCreatequerysql()这个过程就行了,不过得保证你的ACCESS中有查询,嘿嘿。。。。正 文:导入ACCESS查询语句到一个表中直接运行 testCreatequerysql()这个过程就可以把你数据库中的查询导入到...
Access中的Like运算符
最新发布
qq_41046162的博客
02-26 1646
字符串变量 Like “[abc]*” 字符串变量第一个字符只能是abc中的一个,后面为任意个字符。字符串变量 Like “[0-9X]*” 字符串变量第一个字符必须是数字或字母X,后面为任意个字符。字符串变量 Like “[A-z]###” 字符串变量以从A到z的任意一个字母开头,为3个数字。字符串变量 Like “*A*” 字符串变量中的任意位置含有字符A。0-9]*” 字符串变量第一个字符不能是数字。
关于accesslike的用法
SpriteNet的专栏
10-16 9213
这是个让我很纠结的问题   likeaccess的标准写法是 : like 字段1 ‘*abc*’   但是在cs里是要【like 字段1 ‘%abc%’】这么写滴,要是写成【like 字段1 ‘*abc*’】程序执行后打死你也查不到数据
ACCESS模糊查询like的解决方法&&SQL查询语句通配符问题
热门推荐
帽子Lee的专栏
05-02 1万+
前言:ACCESS的通配符和SQL SERVER的通配符比较===================================================ACCESS库的通配符为: *  与任何个数的字符匹配 ?  与任何单个字母的字符匹配 SQL Server中的通配符为:% 与任何个数的字符匹配_ 与单个字符匹配正文我今天在写个页面的候,也很郁闷,表中明明有记录,但在ASP里就是
C#与Access中的like语句
小鹰信息技术服务部
10-10 1155
今天有个需求,从Access数据库中做个查询,用到的是模糊查询like语句。 首先是在Access中直接写查询验证语句是否可用,然后搬到C#中实现。 实际还是遇到 了点小麻烦,关于模糊查询中符号的用法,耽误了不少间,现将Access中的like语句的用法总结如下: 1. 在Access中直接写like语句:用星号* SELECT count(*) FROM 上传结果 WHERE Se...
ACCESS数据库SQL查询语句实操指南
标题和描述中提到了两个重要的知识点:一是ACCESS数据库,二是SQL查询语句的生成。这两个知识点在数据库管理及数据查询方面起着重要的作用。 一、ACCESS数据库 1. ACCESS数据库概述: Microsoft Access是由微软...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值