我们有时候用in语句的时候,发现存在Sql注入漏洞,想参数化处理一下,遇到语句执行问题!!
declare @ids varchar(256) set @ids='216,218' select * from tbl_temp where id in(@ids)
但是还是必须要解决Sql注入的问题,解决方案:利用CHARINDEX系统函数处理
declare @ids varchar(256) set @ids='216,218' select * from tbl_temp where CHARINDEX(','+LTRIM(id)+',',','+@ids+',')>0
查到正确的数据结果。
转播
