asp.net
  • sql
    • 2011-09-27 140 views 1 likes 
    1

    我想這EXCUTE SQL查詢SQL子查詢語法asp.net

    Dim str As String = "UPDATE table1 SET " & _ 
      "number = '" & strc & "'," & _ 
      "code = '" & "123" & "'," & _ 
      "line= '" & dd1.text & "'," & _ 
      "sellr = '" & txtrun.text & "'," & _ 
      "endu= '" & txtex1.value+txtex2.value & "'" & _ 
      "WHERE number IN (select table1.number" & _ 
"FROM table1 INNER JOIN table2 ON table1.number = table2.number" & _ 
"WHERE ((table1.username)='" & session("username") & "' AND (table1.pass)='" & session("pass") & "' AND (table2.sellnum)='" & session("sellnum") & "'));"

    存在查詢表達式語法錯誤,這是德我第一次使用嵌套子查詢

    所有領域越來越字符串的值

    所以,如果有人能告訴我什麼是寫這個查詢正確的方法我會

    來源

    2011-09-27 baaroz

    +1

    您的代碼可以廣泛應用於[SQL注入](http://en.wikipedia.org/wiki/SQL_injection)。您應該使用參數化查詢。 – Oded

    +0

    同意Oded ...創建一個存儲過程,它接受這些參數並進行更新。 –

    回答

    4

    你缺少空格後,非常感謝子查詢中的和table2.number字段。

    我不知道你在哪裏使用這個查詢,但你可能想要閱讀關於SQL injection。當您將字符串粘在一起構建SQL時,您的代碼可能容易受到將SQL代碼放入應用程序字段的惡意用​​戶的攻擊。

    來源

    2011-09-27 19:30:45

    +2

    SQL注入的另一個有用的鏈接:http://stackoverflow.com/questions/332365/xkcd-sql-injection-please-explain – bfavaretto

    +1

    有用和有趣。謝謝,@ bfavaretto。 –

    +0

    認爲SQL注入可能是一個問題? –

    相關問題
    最新問題

     相關問題