鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > .net技术 > c#编程 > >

评“CPQuery, 解决拼接SQL的新方法”

来源:互联网 作者:佚名 时间:2012-11-11 10:20
最近看到一篇CPQuery, 解决拼接SQL的新方法(),由于里面的思路基本是错误的,很担心影响园里的初学者。我在帖子里回复了几次,给博主fish-li 一点小小的建议,没有想到,这位老兄说不过,就直接删除我的回帖,包含别人在贴中对我的发问,如此恶劣行径,实属

最近看到一篇“CPQuery, 解决拼接SQL的新方法”(),由于里面的思路基本是错误的,很担心影响园里的初学者。我在帖子里回复了几次,给博主 fish-li 一点小小的建议,没有想到,这位老兄说不过,就直接删除我的回帖,包含别人在贴中对我的发问,如此恶劣行径,香港虚拟主机,实属罕见。鄙人不才,不能保证每次发帖回帖都正确,也有在园中说错话道歉的时候,但从不删说错的、道歉的贴/回复。

特另单写一篇博文,美国空间,阐述我的观点,也欢迎大家用踊跃讨论。

 

就事论事,香港服务器,这篇博文的错误有以下几点:

1. 该 CPQuery 尝试绕开 Ado.net 的 command.Parameters.Add() ,另写函数来对付 SQL 注入。这是很错误的做法。

很多人都以为,对付SQL 注入很容易,只要把单引号处理掉就行了,容易。其实,这种想法是非常错误的。

对于类似这样的代码:

query = query + + p.ProductName + ;

网友评论
<