windofthesky的专栏

SQL注入攻击指的是通过构建特殊的输入作为参数传入应用程序，而这些输入大都是SQL语法里的一些组合，通过执行SQL语句进而执行攻击者所要的操作，其主要原因是程序没有细致地过滤用户输入的数据，致使非法数据侵入系统。在应用程序编写过程中，针对可以通过使用参数化查询+参数入例检查的方法有效防范SQL注入攻击。以ADO.NET中的sqlcommand为例：            string

问题描述：UI中可供用户选择的搜索选项有三个：By EmployeeID, By Name, By Department用户可以任意选择搜索条件，即：用户可选择的为排列组合模型，在该问题域中，最终可能情况为7种。如果可选项继续过大，最终该排列组合型的问题集将变得非常庞大。不适合通过逻辑判识解决。解决方案：通过SQL语句AND，OR拼接完成解决该问题，将复杂繁琐的逻辑判识改为单纯

Select语句嵌套用法一则：核心方法如下：select temp_tb.x, temp_tb.y, temp_tb.zfrom (select table_B.x, table_B.y,count(table_A.x) as z  from table_A, Table_B where Table_A.x = Table_B.x)  temp_tbwhere temp_tb.z