我正在使用MS ACCESS,我正在更改组合框的afterupdate事件中窗体的recordource。下面是使用这个sql语句有什么问题?
Me.RecordSource = "SELECT * FROM qryMIMATRIX WHERE qryMIMATRIX.A_LOCATION = " & Me.cboLocate.Value & ";"
cboLocate SQL查询的组合框的名称和qryMIMATRIX是查询的名称。 上的更新后事件我提示输入未desirable.Help我出去参数..
我对我下面的SQL注入的评论相当严重的价值。正如你的问题所在,你将面临严重的安全问题。默认情况下,组合框允许您手动输入文本,而不仅仅是从列表中选择。这意味着有人可以输入类似...... somevalue; DROP TABLE等等等等...... – 2012-03-21 11:04:11
将组合的“限制列表”属性设置为“是”可防止注入到RecordSource SQL语句中。但是,Access的数据库引擎不容易受到DROP TABLE类型的注入攻击,因为它只能处理一条语句......你不能用分号连接2条语句,并期望引擎执行两条语句。 – HansUp 2012-03-21 14:20:01