如果是的话,为什么还有那么多成功的SQL注入攻击呢?只是因为一些开发人员没有使用参数化语句吗?
如果是的话,为什么还有那么多成功的SQL注入攻击呢?只是因为一些开发人员没有使用参数化语句吗?
CREATE PROCEDURE show_current_orders
(@name varchar(400) = NULL)
AS
DECLARE @sql nvarchar(4000)
SELECT @sql = ‘SELECT id_num, searchstring FROM searchorders WHERE ‘ +
‘searchstring = ‘’’ + @name + ‘’’’;
EXEC (@sql)
GO