sql >> Databasteknik >  >> RDS >> Oracle

Vad är SQL Server-ekvivalenten för Oracles DBMS_ASSERT?

Gör inte dynamiska frågor genom att bygga strängar och köra dem.

Använd sp_executesql och skicka parametrar som parametrar.

Du kommer att upptäcka att sql-injektion inte längre finns.

REDIGERA :förlåt, jag hade bråttom och skrev fel kommando. det är inte sp_execute, det är sp_executesql; det krävs en sträng och en uppsättning parametrar:all kodning och escape av parametrarna görs av SQL Server.

EDIT2 :förklaring av sp_executesql-sats



  1. Ersätt null-värdet med tidigare tillgängliga värde i Row SQL-serverfrågan

  2. XML-parserror:skräp efter dokumentelement

  3. Hur man skapar en vy i SQL Server

  4. Det gick inte att starta MySQL-servern - Kontrollprocessen avslutades med felkod