我在ASP中使用变量进行插值,为此我有一个可变的:
cid=Request.Form("customerID")
然后,
rs.open "SELECT * FROM customers WHERE customerID='" & cid & "'",conn
以上陈述不起作用 虽然这有效:
rs.open "SELECT * FROM customers WHERE customerID=1",conn
答案 0 :(得分:1)
你的代码是开放的SQL注入!!!
阅读有关参数化查询的信息。
在你的第一个SQL中你有撇号('),如果cid是数字
,这是不好的