vc++如何在sql语句中加入变量

在vc对数据库执行各种 *** 作的过程中，直接使用sql语言查询往往是很方便的，但有时候要执行复杂的查询时，需要往sql语句中传递各种参数，比如系统时间、日期，查询的约束条件等等。例如要执行一个有日期约束的查询，最简单的方法就是：定义一个变量 CString kk("")kk.format("select * from V_SUM_TERM_POWER WHERE MEASURE_TIME =TO_DATE('"+time1+"','YYYY-MM-DD')")//其中TO_DATE('"+time1+"','YYYY-MM-DD'）为一个字符串转日期的函数，time1为CString类型的日期变量，"+time1+"表示传入的参数。

你说的只是php代码中可能会允许你使用注入语句，但是一般来说，网站防注入都是在链接数据库的类中加入了转换，也就是说把注入语句的关键字都加上了转义字符。比如你遇到的这种情况，就是被防注入了。

关于你这个问题：

问：输入框中的SQL语句应该如何写？

条件：数据库表、字段全已知，输入框长度不限。

我只能跟你说，你可以在输入框中加入,/这种符号，让语句解析的时候出现问题，让php把sql语句拼合成两个或两个以上。这样你就可以在第二条语句之后加入你想要执行的命令了。

如果这种方法没有效果，你只能使用溢出的方式来注入！

---