[求助]看看这个数据库搜索中的符号什么意思?

game15888 发布于 2007-11-01 20:57， 892 次点击

列如:strSQL="SELECT * FROM List WHERE "
strSQL=strSQL & " name LIKE '%"&request("keyword")&"%'"
request("keyword")这个已经是具体的条件了为什么还要在2头加%呢?
难道是为了模糊查询更多的记录??

9 回复

永夜的极光2007-11-01 21:14

就是模糊查找，只要含有这个keyword的都找出来

multiple19022007-11-01 21:23

通配符。

multiple19022007-11-01 21:23

不是有SQL版么？

purana2007-11-01 21:23

同楼上的.
如果你说request("keyword")已经具备条件了..
那就直接等于啊..
strSQL="SELECT * FROM List WHERE "
strSQL=strSQL & "name ='" & request("keyword") & "'"

purana2007-11-01 21:24

晕..网速很慢..

multiple19022007-11-01 21:32

以下是引用purana在2007-11-1 21:23:48的发言：
同楼上的.
如果你说request("keyword")已经具备条件了..
那就直接等于啊..
strSQL="SELECT * FROM List WHERE "
strSQL=strSQL & "name ='" & request("keyword") & "'"

防注入要做好

game158882007-11-01 22:28

感谢大家~!

game158882007-11-02 08:20

以下是引用multiple1902在2007-11-1 21:32:14的发言：

防注入要做好

防注入？？？能个简单通俗的举例吗？

#10

yms1232007-11-02 08:46

以下是引用game15888在2007-11-2 8:20:08的发言：

防注入？？？能个简单通俗的举例吗？

strSQL="SELECT * FROM List WHERE "
strSQL=strSQL & "id ="& request("id")
这样的情况下
URL输入如下内容的id
?id=2 delete from List
List表在程序外部被删掉了