SQL子查询语法asp.net

我想这EXCUTE SQL查询SQL子查询语法asp.net

Dim str As String = "UPDATE table1 SET " & _ 
      "number = '" & strc & "'," & _ 
      "code = '" & "123" & "'," & _ 
      "line= '" & dd1.text & "'," & _ 
      "sellr = '" & txtrun.text & "'," & _ 
      "endu= '" & txtex1.value+txtex2.value & "'" & _ 
      "WHERE number IN (select table1.number" & _ 
"FROM table1 INNER JOIN table2 ON table1.number = table2.number" & _ 
"WHERE ((table1.username)='" & session("username") & "' AND (table1.pass)='" & session("pass") & "' AND (table2.sellnum)='" & session("sellnum") & "'));"

存在查询表达式语法错误，这是德我第一次使用嵌套子查询

所有领域越来越字符串的值

所以，如果有人能告诉我什么是写这个查询正确的方法我会

来源

2011-09-27 baaroz

您的代码可以广泛应用于[SQL注入]（http://en.wikipedia.org/wiki/SQL_injection）。您应该使用参数化查询。 – Oded

同意Oded ...创建一个存储过程，它接受这些参数并进行更新。 –

你缺少空格后，非常感谢子查询中的和table2.number字段。

我不知道你在哪里使用这个查询，但你可能想要阅读关于SQL injection。当您将字符串粘在一起构建SQL时，您的代码可能容易受到将SQL代码放入应用程序字段的恶意用户的攻击。

来源

2011-09-27 19:30:45

SQL注入的另一个有用的链接：http://stackoverflow.com/questions/332365/xkcd-sql-injection-please-explain – bfavaretto

有用和有趣。谢谢，@ bfavaretto。 –

认为SQL注入可能是一个问题？ –

回答

相关问题