堆栈内存溢出
  简体   繁体   English

Oracle中的上功能输入参数

[英]Upper Function Input parameter in Oracle

 原文  2014-06-03 08:29:10       sql/ oracle

问题描述

I try to prevent SQL injection in SQL query. 我试图防止SQL查询中的SQL注入。 I used following code to do it but unfortunately I faced some problem. 我使用下面的代码来执行此操作,但不幸的是我遇到了一些问题。 The query is not running in oracle DB: 该查询未在oracle DB中运行: 

strQuery = @"SELECT PASSWORD FROM IBK_USERS where upper(user_id) =upper(:UserPrefix) AND user_suffix=:UserSufix AND STATUS_CODE='1'";
//strQuery = @"SELECT PASSWORD FROM IBK_CO_USERS where user_id = '" + UserPrefix + "' AND user_suffix='" + UserSufix + "' AND STATUS_CODE='1'";

try
{
    ocommand = new OracleCommand();
    if (db.GetConnection().State == ConnectionState.Open)
    {
        ocommand.CommandText = strQuery;
        ocommand.Connection = db.GetConnection();
        ocommand.Parameters.Add(":UserSufix", OracleDbType.Varchar2,ParameterDirection.Input);
        ocommand.Parameters[":UserSufix"].Value = UserSufix;
        ocommand.Parameters.Add(":UserPrefix", OracleDbType.Varchar2,ParameterDirection.Input);
        ocommand.Parameters[":UserPrefix"].Value = UserPrefix.ToUpper();
        odatareader = ocommand.ExecuteReader();
        odatareader.Read();
        if (odatareader.HasRows)
        {

1 个解决方案

解决方案1
 0  2014-06-03 08:46:02

Your parameters shouldn't contain the semicolon : . 您的参数不应包含分号: This is just an indicator in your query that the variable that follows is a parameter, but you don't have to supply that on the .NET side: 这只是查询中的一个指示符,表明后面的变量是一个参数,但是您不必在.NET端提供它: 

ocommand.Parameters["UserSufix"] = ...

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 为 Oracle function 定义一个 CLOB 输入参数(或使用 CLOB 输入参数定义一个 function) - Define a CLOB input parameter for Oracle function (OR Define a function with CLOB input parameter) 在Oracle中使用UPPER()函数的约束,缺少表达式 - Constraints with UPPER() function in Oracle, missing expression IN参数初始化中使用的UPPER函数未按预期工作 - UPPER function used in initialisation of an IN parameter not working as expected Oracle过程将所有输入变量设置为大写 - Oracle procedure all input variables to be set in upper case Oracle sql - 加入输入参数 - Oracle sql - join with input parameter 具有动态参数的Oracle Lag函数 - Oracle Lag function with dynamic parameter 将类型作为参数传递给 Oracle 函数 - Pass type as parameter to Oracle function Oracle sql 中的大写 - Upper Case in Oracle sql ORACLE UPPER适用于IN状态 - ORACLE UPPER applied to IN condition Oracle SQL Group按上层 - Oracle SQL Group By Upper
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM