ASP,ADO中的变量插值

时间:2014-02-05 13:03:19

标签: html asp-classic ado

我在ASP中使用变量进行插值,为此我有一个可变的:

cid=Request.Form("customerID")

然后,

rs.open "SELECT * FROM customers WHERE customerID='" & cid & "'",conn

以上陈述不起作用 虽然这有效:

rs.open "SELECT * FROM customers WHERE customerID=1",conn
有人可以帮助我吗?

1 个答案:

答案 0 :(得分:1)

你的代码是开放的SQL注入!!!

阅读有关参数化查询的信息。

在你的第一个SQL中你有撇号('),如果cid是数字

,这是不好的
相关问题
最新问题