日期:2014-05-16  浏览次数:21000 次

SQL语句问题、求帮吗!!!!!!


sql="select * from kucun where username='"&request.Cookies("bjx")("username")&"' and names='"&request.form("name")&"' "
 
这段语句错在哪了、username和name都是文本类型。如果把names='"&request.form("name")&"'换成id=12(数字类型)就可以了这为什么! 是不是names='"&request.form("name")&"'有问题,但是值是获取到的,是不是写法不对,2个条件都是文本类型的怎么写!

------解决方案--------------------
那样写是没有问题的,但是存在sql注入,打印sql语句看看就知道什么问题了

'替换掉'
sql="select * from kucun where username='"&replace(request.Cookies("bjx")("username"),"'","")&"' and names='"&replace(request.form("name"),"'","")&"'"
response.write sql

------解决方案--------------------
引用:
Quote: 引用:

try:
rs.open sql,conn,1,1

你的access数据库文件没有被锁住吧(就是你打了这个文件),再用代码去访问这个文件会造成文件被锁住
 您说的锁住什么也是没怎么听懂

mdb文件文件夹内出现一个同名的ldb的文件,上面有个小锁的图标