Question

Есть ли проблемы с этим синтаксисом SQL

  @{
var userId = Request["UserId"];
     var db = Database.Open("intranet");
    var query3 = "INSERT INTO CongeAccept(UserId,DateDebut,DateFin,TypeConge) SELECT UserId,DateDebutDemande,DateFinDemande,TypeConge FROM DemandeConge WHERE UserId = '" + userId + "'";
            db.Execute(query3); }

Conrad Frix · Answer 1 · 28 февраля 2012

есть ли проблема с этим синтаксисом sql

Это во многом зависит от того, откуда исходит идентификатор пользователя. Если его пользователь предоставил, вы открываете себя для атаки SQL-инъекцией

Вместо этого вы должны использовать параметры. В качестве дополнительного бонуса вам не нужно беспокоиться о размещении кавычек вокруг значений.

 var query3 = @"INSERT INTO CongeAccept(UserId,DateDebut,DateFin,TypeConge) 
               SELECT UserId,DateDebutDemande,DateFinDemande,TypeConge 
               FROM DemandeConge 
               WHERE UserId = @0";
 db.Execute(query3, userId );

Синтаксис SQL команда вставки, используя в бритве Webmatrix

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Синтаксис SQL команда вставки, используя в бритве Webmatrix

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов