"
或直接参数就传表名,可是不太安全。
==============================================================
你写的代码中有两处不正确
1、type = Trim(Request。
QueryString("type"))和select case type这里的变量type是1个asp内部关键字,不能作为变量来声明,可改为别的名称,如types = Trim(Request。QueryString("type"))和select case types,你可以直接运行这个页面,可以看见错误乱码。
2、作为参数传递的type=article中的"a"是小写的,而判别时case "Article"的"A"是大写的,这里是区分大小写的,由于参数是字符串,判别是在比较字符串是不是相等,因此"article"和"Article"是2个不相等的字符串。
另外,你参数直接就传表名,我就知道你的库结构了。
==============================================================
对,假如过滤不好,容易被sql注入,建议用0,1,2。
。。来作为参数,这样他人就不知道这类数字代表的啥意思,可是你仍然可以在接收页面用
select case types
case 1
。。。
case 2
。
。。
case else
做好这里的判别,假如参数不符合条件,在这里执行错误提醒。
来判别书写sql语句。"。
答:详情>>
