博客园_沐海—化茧成蝶

一大清早的惊醒，看别人SQL注入之后，加强学习SQL和参数化查询。

2012-03-31T01:57:00Z

先说说两会(这名字不怕被河蟹)的帖子哈：http://www.cnblogs.com/hkncd/archive/2012/03/31/2426274.html

忽然发现，很多项目中还使用这种拼SQL语句的方式。真是早就该进步啊。以前一师兄说过用参数化查询，我没有仔细揣摩参数化查询的本质。知其然不知其所以然，那么看完这帖子，我的困觉一下的又醒了。马上来仔细讨论学习一下SQL参数化查询。

引用:

以往的防御方式

以前对付这种漏洞的方式主要有三种：

字符串检测：限定内容只能由英文、数字等常规字符，如果检查到用户输入有特殊字符，直接拒绝。但缺点是，系统中不可避免地会有些内容包含特殊字符，这时候总不能拒绝入库。
字符串替换：把危险字符替换成其他字符，缺点是危险字符可能有很多，一一枚举替换相当麻烦，也可能有漏网之鱼。
存储过程：把参数传到存储过程进行处理，但并不是所有数据库都支持存储过程。如果存储过程中执行的命令也是通过拼接字符串出来的，还是会有漏洞。

参数化查询

参数化查询（Parameterized Query 或 Parameterized Statement）是访问数据库时，在需要填入数值或数据的地方，使用参数 (Parameter) 来给值。

在使用参数化查询的情况下，数据库服务器不会将参数的内容视为SQL指令的一部份来处理，而是在数据库完成SQL指令的编译后，才套用参数运行，因此就算参数中含有指令，也不会被数据库运行。Access、SQL Server、MySQL、SQLite等常用数据库都支持参数化查询。

在ASP.NET程序中使用参数化查询

ASP.NET环境下的查询化查询也是通过Connection对象和Command对象完成。如果数据库是SQL Server，就可以用有名字的参数了，格式是“@”字符加上参数名。

SqlConnection conn = new SqlConnection("server=(local)\\SQL2005;user id=sa;pwd=12345;initial catalog=TestDb"); conn.Open();

SqlCommand cmd = new SqlCommand(“SELECT TOP 1 * FROM [User] WHERE UserName = @UserName AND Password = @Password“);
cmd.Connection = conn;
cmd.Parameters.AddWithValue(”UserName”, “user01″);
cmd.Parameters.AddWithValue(”Password”, “123456″);

SqlDataReader reader = cmd.ExecuteReader();
reader.Read();
int userId = reader.GetInt32(0);

reader.Close();
conn.Close();

什么是参数化查询?
一个简单理解参数化查询的方式是把它看做只是一个T-SQL查询，它接受控制这个查询返回什么的参数。通过使用不同的参数，一个参数化查询返回不同的结果。要获得一个参数化查询，你需要以一种特定的方式来编写你的代码，或它需要满足一组特定的标准。

有两种不同的方式来创建参数化查询。第一个方式是让查询优化器自动地参数化你的查询。另一个方式是通过以一个特定方式来编写你的T-SQL代码，并将它传递给sp_executesql系统存储过程，从而编程一个参数化查询。

参数化查询被喻为最有效防止SQL注入的方法，那么存储过程一定是参数化过后的吗？

如果存储过得利用传递进来的参数，再次进行动态SQL拼接，这样还算做是参数化过后的吗？如果存储过程一定是参数化过后的，那么是不是意味着，只要使用存储过程就具有参数化查询的全部优点了？

我有如下存储过程：

create procedure pro_getCustomers
(
@whereSql nvarchar(max)
)
as
declare @sql nvarchar(max)
set @sql=N'select * from dbo.Customer ' + @whereSql
exec(@sql)
Go

--如果我要在ADO.NET中参数化查询这个存储过程，以防止SQL注入，我该怎么办呢？比如：
exec pro_getCustomers 'where Name=@name'

这种方法没有办法防止注入，你能做的就是对字符串进行过滤.

拼接SQL是：

"select * from customer where 1=1" + " and name=@name" + " and sex=@sex"

也就是判断参数化查询。只不过是动态地组装查询限制条件。

动态拼接SQL，而且是参数化查询的SQL语句是没有问题的。

ADO.NET中被SQL注入的问题，必须过于关键字。我的测试代码如下：

USE [B2CShop]
GO
SET ANSI_NULLS ON
GO
SET QUOTED_IDENTIFIER ON
GO
ALTER procedure [dbo].[pro_getCustomers]
(
@whereSql nvarchar(max),
@paramNameList nvarchar(max),
@paramValueList nvarchar(max)
)
as
declare @sql nvarchar(max)
set @sql=N'select * from dbo.Customer ' + @whereSql
exec sp_executesql @sql, @paramNameList , @paramValueList
go

/// <summary>
/// 动态执行存储过程
/// </summary>
/// <param name="searchedName">要查询的姓名的关键字</param>
/// <returns>实体集合</returns>
public static List<Customer> ExecDynamicProc(string searchedName)
{
SqlParameter[] values = new SqlParameter[]
{
new SqlParameter("@whereSql", "where name like @name"),
new SqlParameter("@paramNameList","@name nvarchar(50)"),
new SqlParameter("@paramValueList","@name='%"+ searchedName +"%'")
};
return DBHelper.ExecuteProc("proc_GetCustomerPagerBySearch",values);
}

/// <summary>
/// 从搜索类里面拼接参数化的SQL字符串
/// </summary>
/// <param name="search">搜索类</param>
/// <param name="sqlParams">搜索的参数，不能传入Null</param>
/// <returns>安全的SQL语句</returns>
private static string GetSafeSqlBySearchItem(CustomerSearch search, ref List<SqlParameter> sqlParams)
{
StringBuilder safeSqlAppend = new StringBuilder();
if (search != null)
{
if (!string.IsNullOrEmpty(search.NameEquals))
{
safeSqlAppend.Append(" and Name=@nameEquals");
sqlParams.Add(new SqlParameter("@nameEquals", search.NameEquals));
}
if (!string.IsNullOrEmpty(search.NameContains))
{
safeSqlAppend.Append(" and Name like @nameContains");
sqlParams.Add(new SqlParameter("@nameContains", "%" + search.NameContains + "%"));
}
}
return safeSqlAppend.ToString();
}

/// <summary>
/// 得到分页用的SQL语句
/// </summary>
/// <param name="columnNameItems">要查询的列名，多个列名用逗号分隔。传入Empty或Null时，则默认查询出所有的列</param>
/// <param name="tableName">表名，不能为Null和Empty，默认的SQL别名为a</param>
/// <param name="joinOtherTable">连接其他的表，可以传入Null或Empty。调用的时候，可以类似如：inner join departInfo as b on a.departInfoId=b.Id</param>
/// <param name="whereSql">搜索条件，即在“where 1=1 ”后面写条件，可以传入Null或Empty。调用的时候，可以类似如：and b.Price=@beginPrice </param>
/// <param name="orderColumnNameAndAscOrDesc">排序的列名以及Asc或Desc，即在“order by”后面写排序项，不能为Null和Empty。比如“Id asc, name desc”</param>
/// <param name="pageNumber">当前页的页码，最小值应该为1</param>
/// <param name="pageSize">每页显示的记录数，最小值应该为1</param>
/// <returns>SQL语句</returns>
internal static string GetPagerTSql(string columnNameItems, string tableName, string joinOtherTable, string whereSql, string orderColumnNameAndAscOrDesc, int pageNumber, int pageSize)
{
if (string.IsNullOrEmpty(tableName))
{
throw new ArgumentNullException("tableName", String.Format(CultureInfo.CurrentCulture, DALResource.Common_NullOrEmpty));
}
if (string.IsNullOrEmpty(orderColumnNameAndAscOrDesc))
{
throw new ArgumentNullException("orderColumnNameAndAscOrDesc", String.Format(CultureInfo.CurrentCulture, DALResource.Common_NullOrEmpty));
}
if (string.IsNullOrEmpty(columnNameItems))
{
columnNameItems = "a.*";
}
if (pageNumber < 1)
{
pageNumber = 1;
}
if (pageSize < 1)
{
pageSize = 1;
}
int beginNumber = (pageNumber - 1) * pageSize + 1;
int endNumber = pageNumber * pageSize;
string sqlPager = string.Format("select * from (select row_number() over(order by {1}) as __MyNewId, {0} from {2} as a {3} where 1=1 {4}) as __MyTempTable where __MyNewId between {5} and {6} order by __MyNewId asc;", columnNameItems, orderColumnNameAndAscOrDesc, tableName, joinOtherTable, whereSql, beginNumber, endNumber);
string sqlPagerCount = string.Format("select @__returnCount=COUNT(*) from {0} as a {1} where 1=1 {2};",tableName, joinOtherTable, whereSql);
return sqlPager + sqlPagerCount;
}

本文链接

（井底之蛙）惭愧丢人的两段代码---希望以后多多长进，警醒自己

2012-03-19T08:19:00Z

井底之蛙

2012-04-10 20:50 今天又来看看这个代码。错误地方有很几处。这个代码主要是因为不熟悉.NET中数组和LIST之间的转换。
目的:想排除所有不等项。然后再赋值给原对象。
先说说第二个。第二个就是一个错啊。特别是第二个FOR循环。简直把自己的脸丢完了。

第一个也是个错。啥都不说了。丢死人了。

最后写法。参考以上留言的各位。

var list=new List<Common.Other.Cookies>();
foreach (Common.Other.Cookies cookiesTemp in cartJson.Cookies)
{
if(cookiesTemp.GoodsNo!=GoodsNo)//删除相等的。
{
list.Add(cookiesTemp);
}
}
cartJson.Cookies=list.ToArray();

//各位各位。实在是一点点泡沫把我吹的不知道自己是谁了。惭愧啊惭愧啊。

最惭愧的。虽然立即就把代码改成上面那样，但是直到今天，我才从心里真正明白自己那一点点经验就自大的心态。

感谢各位的点醒。这篇错误代码要永远留着。

int i = 0; bool isDel = false;
foreach (Common.Other.Cookies cookies1 in cartJson.Cookies)
{
if (isDel)
{
cookiesArray[i - 1] = cookies1;
}
else
{

if (cookies1.GoodsNo == GoodsNo)
{
isDel = true;
continue;
}
cookiesArray[i] = cookies1;

}
i++;
}
//int i = 0;
//foreach (Common.Other.Cookies cookies1 in cartJson.Cookies)
//{

// if (cookies1.GoodsNo == GoodsNo)// 这种写法如果排在前面别上面优化，排在后面比上面劣势，况且(2N+1)和(N+1)之间还是N+1比较省。
// {
// break;
// }
// cookiesArray[i] = cookies1;
// i++;
//}

//for (int j = i; j <cartJson.Cookies.Length;j++ )
//{
// cookiesArray[j] = cartJson.Cookies[j+1];
//}

#2楼 2012-03-19 22:20 vons

代码的变量和结构太乱了，是不是想在cookiesArray中保存所有不等于GoodsNo的项？

var list = new List<Common.Other.Cookies>();
for (int i=0; i <cartJson.Cookies.Length;i++ )
{
if (cartJson.Cookies[i].GoodsNo != GoodsNo)
list.Add(cartJson.Cookies[i]);
}
return list.ToArray(); 　回复　引用　查看　删除

#3楼 2012-03-20 02:43 青砖绿树 

你这代码写得够绕的。。。
要是在我的团队，这样的情况出现3次，打包回家找妈
取出不等于GoodsNo的项
var list = cartJson.Cookies.ToList()
.Select(c=>c.GoodsNo != GoodsNo)
.ToList(); 　回复　引用　查看　删除

#4楼 2012-03-20 02:44 青砖绿树 

var list = cartJson.Cookies.ToList()
.Where(c=>c.GoodsNo != GoodsNo); 　回复　引用　查看　删除

#5楼 2012-03-20 04:48 B.Zhou

LZ代码的意思是，排除不等于GoodsNo的第一项
楼上几位看的太不仔细了！

不过LZ的代码写的太不专业了，有逻辑错误，有发生异常的可能性
1.cookiesArray[i - 1] = cookies1;
应该改成：cookiesArray[i] = cookies1;这是逻辑错误
i-1:如果当i为0时就匹配成功isDel=true，index启不是-1？有异常可能性

2.楼主以后不要把这样的文章放首页。　回复　引用　查看　删除

#6楼 [楼主] 2012-03-20 09:13 沐海 

@vons
谢啦。小弟实在太惭愧了。这段代码留着给我这个井底之蛙。查看　删除修改

#7楼 [楼主] 2012-03-20 09:13 沐海 

@青砖绿树
谢啦。小弟实在太惭愧了。这段代码留着给我这个井底之蛙。查看　删除修改

#8楼 [楼主] 2012-03-20 09:15 沐海 

@B.Zhou
楼上几位老大的意思是对的。是我的代码写的不好，让你误会了。

但是您指出的“index启不是-1？有异常可能性”也是我的错误。查看　删除修改

好好打基础。认真学基础。别再朝三暮四了。

本文链接

项目讨论记

2012-03-06T09:40:00Z

项目讨论问题：
1. 为什么不能用买卖家。目前做的不好是因为做的不好。不是因为现在的设计错误。
2. 淘宝的模式和当前我们的模式是一样的。相同的经营模式，淘宝的经验不值得我们学习？
3. 淘宝从定制服务，业务流程等等各个方面，完全应该以买卖家为不同的定制对象来不同考虑。
4. 买卖家分开虽然使切换带来问题。可是同样可以把对应的功能分的更细化。比如我进入卖家就是来管理我卖的东西的。我进入买家就是来管理我买的东西的。为什么要和在一起？以订单为例：我进入我的买家就是想看我买的订单怎么样了。我进入卖家就是想看我的卖家怎么样了。如果放在一起。我需要在中心页不能直接的显示相关信息，只能加个不同状态的小提示。
5. 如果按照这种设计。最好的方式是左侧的菜单是根据卖家和买家中心进行折叠。这样是最节省空间的。但是光是展示也是很考研耐性的。有可能做成3级目录。在我的认识中。人们对折叠菜单的忍耐是2层。
6. 那如果在整合到一起。你在Open用户中心内页上推荐的服务比如五花八门。上一个有可能是哪家的商品便宜。下一个就有可能是怎么管理店铺模板。

7.还有个问题：你看看现在你的设计。卖家买家的中心页面都是不同的。你怎么整合能达到你的要求？

对应的卖家的中心是订单。买家中心是商品推荐。你怎么整合合适？

是得，时间就像海绵里的水挤挤总会有的。可是你这样去设计，抛却优势，只为某人的话？心态就不对。怎么能把项目做好才是根本。

要是我能做主，我肯定坚持比较好的设计做。

我承认他有时候对。但不是都对，更不是绝对对。

这样的整合和布局必然会导致**合作方和管理人，在中后期这些问题逐渐凸显的时候，要求修改项目。呜呼

但是我没办法。对于自己的设计不能实现，无可奈何。整合到一起绝对能做。但是其优点和其缺点在我的认知中没办法说服我。

还是那句话：我可以去做。但是这不是我想做的。

OK。记住我的设计。接着做的工作。看看项目到最后是谁的设计赢。

本文链接

JS插入排序算法

2012-02-20T02:09:00Z

C版：

void

InsertionSort(ElementType A[],int N)

{

int j,p;

Element Type tmp;

for(p=1;p<N;P++)

{

Tmp=A[p];

for(j=P;j>0&&A[j-1]>Tmp;j--)

A[j]=A[j-1];

A[j]=Tmp;

}

}

两版比较，JS的方法不够简洁。利用C的算法写JS的程序先。

本文链接

一切磨难，从今天，从现在，才刚刚开始。过去都是开胃小菜。家伙，你自己珍重。

2012-01-08T07:14:00Z

一切磨难，从今天，从现在，才刚刚开始。

本文链接

自己的理想，成长过程逐渐明确

2011-12-15T02:57:00Z

第一步，精通数据库原理，ASP.NET技术，设计模式。
第二步，掌握多种高级编程技术。WCF.WPF.
第三部，掌握分布式WEB开发架构设计。
第三部，学习领域驱动和企业级开发。

——————————————
目前我第一步还没有走好。欠缺很多。最近浮躁的心态要调整下。

更重要是要认识到。这又可能是你下面5年，10年要走的路。不是一年内就可以去奢望的。去想这么远。不如脚踏实地的学习好ASP.NET技术。

ASP.NET技术有其优点。有其缺点。封装的太好。开源的不多。真正底层的操作介绍也只能在各个牛人博客上才能找到。

对应java或者PHP。需要什么组件和功能，都可以自己根据原理订制。这样个人技术发展起来比较快。

不过既然决定当初要做.NET，就一定要尽自己的努力。虽然我爱java。不过java是我情人。.NET是我老婆啊。

希望自己多多学习吧。

本文链接

脱离SVN版本控制。DAT文件语句。

2011-12-04T02:15:00Z

for /r . %%a in (.) do @if exist "%%a\.svn" rd /s /q "%%a\.svn"

本文链接

从0开始--倒序输出。

2011-12-01T09:14:00Z

今天加入一个QQ群。是搞算法的。可是有个投名状是倒序输出 123456789.

哦。于是我写了个。写的我看上去惨不忍睹。百度一下。发现个不错的的。

int [] num=new int[1,2,3,4,5,6,7,8,9];

for（int i=0;i<num.length/2;i++）{
int temp=num[i];

num[i]=num[num.length-1-i];
num[num.length-1-i]=temp;

}

这个不错就是它把从0开始这个真正的用到了编程理论上。让我们看到。为什么从0开始更省力。

因为如果不是从零开始。

本文链接

动软版本问题 +修改时，参数化查询时，提示少了某些参数，但在数据库中这些参数为空。

2011-11-15T08:10:00Z

一哥们。用动软2.6.7来写ADD和Update（）；

数据库中字段可以为空。后台赋值为“”；结果修改时，首先给MODEL赋值，发现怎么成了NULL了。

而数据库终中也不是“NULL”，证明数据库中是空串。

于是发现动软生成的三层里面有一个SQLSERVERDAL。里面的UPDATE时，多了一个IF判断。

我们的都是

if(ds.Tables[0].Rows[0]["beginTime"].ToString()!="")
    {
     model.beginTime=DateTime.Parse(ds.Tables[0].Rows[0]["beginTime"].ToString());
    }

他的是

if(ds.Tables[0].Rows[0]["beginTime"]!=null&&ds.Tables[0].Rows[0]["beginTime"].ToString()!=""){}

于是乎，导致一直取不到值。赋值也有null值。更不要说是UPDATE操作了。

但是注意：并不是说这样写是错的。而是看你平时针对数据库为空的情况在程序后台中怎么添加，怎么修改的习惯。

LOCATION中

nvarchar Memo 是可以为空的。model.BirdsNum = ds.Tables[0].Rows[0]["BirdsNum"].ToString();

其他的有的检查ds.Tables[0].Rows[0]["ServiceType"].ToString() != ""

有的还坚持ds.Tables[0].Rows[0]["beginTime"]!=null

各种动软版本都不同。导致你的可空字段的值很不稳定。

所以

     if (ds.Tables[0].Rows.Count > 0)
            {
                model.DeviceId = ds.Tables[0].Rows[0]["DeviceId"].ToString();
                if (ds.Tables[0].Rows[0]["ServiceType"].ToString() != "")
                {
                    model.ServiceType = int.Parse(ds.Tables[0].Rows[0]["ServiceType"].ToString());
                }
                if (ds.Tables[0].Rows[0]["Longtitude"].ToString() != "")
                {
                    model.Longtitude = decimal.Parse(ds.Tables[0].Rows[0]["Longtitude"].ToString());
                }
                if (ds.Tables[0].Rows[0]["Latitude"].ToString() != "")
                {
                    model.Latitude = decimal.Parse(ds.Tables[0].Rows[0]["Latitude"].ToString());
                }
                model.Direction = ds.Tables[0].Rows[0]["Direction"].ToString();
                if (ds.Tables[0].Rows[0]["Velocity"].ToString() != "")
                {
                    model.Velocity = decimal.Parse(ds.Tables[0].Rows[0]["Velocity"].ToString());
                }
                model.BirdsOrientation = ds.Tables[0].Rows[0]["BirdsOrientation"].ToString();
                model.BirdsFlyDirection = ds.Tables[0].Rows[0]["BirdsFlyDirection"].ToString();
                model.BirdsNum = ds.Tables[0].Rows[0]["BirdsNum"].ToString();
                model.BirdsSize = ds.Tables[0].Rows[0]["BirdsSize"].ToString();
                model.BirdsHeight = ds.Tables[0].Rows[0]["BirdsHeight"].ToString();
                model.BirdsAction = ds.Tables[0].Rows[0]["BirdsAction"].ToString();
                model.Address = ds.Tables[0].Rows[0]["Address"].ToString();
                if (ds.Tables[0].Rows[0]["LocationTime"].ToString() != "")
                {
                    model.LocationTime = DateTime.Parse(ds.Tables[0].Rows[0]["LocationTime"].ToString());
                }
                model.Memo = ds.Tables[0].Rows[0]["Memo"].ToString();
                return model;
            }
            else
            {
                return null;
            }

综上所述，解决方案分两个方面

1. 养成自己的编码习惯，看看修改和赋值时，自己想赋值成什么样。

2.不要批量生成。每一个代码文件，特别是SQLServerDAL都要看看，是否和自己的编码习惯一直。不一致再改动。

反正有句话我在心里说：动软这点。正烦人。但是动软也不能适应所有的需求啊。而且动软是别人的定义。所以还是把这些修改成自己习惯的吧。哈哈。谁让我也是程序员那。

————————下面是一种情况

参数化查询时，提示少了某些参数，但在数据库中这些参数为空。

而且还是在修改时发生的。

我一直以为是三层中的“可空符号？”没写的问题。后台我加上此符号，发现string？ aa这样报错。

原来。string字符串本身就是个引用类型。可以是NULL 。不需要在加“？”。一般是INT 或者 DECIMAL 或者 DATETIME 这样的类型加“？”；

那是什么错误那？

后来我又一想，是修改。就需要先得到MODEL.直接拿一个MODEL赋值。然后UPDATE，当然有问题，因为不是ADD。是update。必须先赋值才可以啊。

于是我才明白。原来是在修改时，没有 MODEL=BLL.GETMODEL(ID);

已经赋了model的提示MEMO字段缺失。一看原来是在参数化查询时，NULL字段没办法表示。一般更新就写个判断。看看MODEL是否只NULL。是NULL就赋值为""；

反正经过动软三层的SQLServerDAL.也会变成数据库中是NULL。不是NULL的时候就再赋一遍原来的值喽（其实我还是建议改动软三层中的代码）。

还是要看自己的习惯啊。

本文链接

Sql Server 2005 用户 'sa' 登录失败。该用户与可信 SQL Server 连接无关联

2011-11-15T03:24:00Z

用户 'sa' 登录失败。该用户与可信 SQL Server 连接无关联

问题一、忘记了登录Microsoft SQL Server 2005 的sa的登录密码

解决方法：先用windows身份验证的方式登录进去，然后在‘安全性’-‘登录’-右键单击‘sa’-‘属性’，修改密码（sa的密码不能太简单，最好要有数字，字母，下划线字符组成，且长度最好大于10个字符）；点击确定就可以了。

问题二、已成功与服务器建立连接，但是在登录过程中发生错取。（provider:共享内存提供程序，error：0-管道的另一端上无任何进程。）（Microsoft SQL Server,错误:233）

解决方法：打开‘程序’－‘所有程序’－‘Microsoft SQL Server 2005 ’－‘配置工具’－‘SQL Server 配置管理器’，在弹出的窗体中，找到‘SQL Server 2005 网络配置’，把‘MSSQLSERVER的协议’下的“Named Pipes”和“TCP/IP”启动，然后重新启动Microsoft SQL Server 2005就可以了。

问题三、无法打开用户默认数据库。登录失败。用户‘sa’登录失败。（Microsoft SQL Server, 错误：4064）

解决方法：先用windows身份验证的方式登录进去，然后在‘安全性’-‘登录’-右键单击‘sa’-‘属性’，将默认数据库设置成master，点击确定就可以了。

问题四、sql server 2005 错误 18452
无法连接到服务器
服务器：消息18452，级别16，状态1
[Microsoft][ODBC SQL Server Driver][SQL Server]用户‘sa’登陆失败。原因：未与信任SQL Server连接相关联

该错误产生的原因是由于SQL Server使用了"仅 Windows"的身份验证方式，因此用户无法使用SQL Server的登录帐户（例如 sa )进行连接，解决方法如下
设置允许SQL Server身份登录 (基本上这个很有用)
操作步骤：
1。在企业管理器中，展开"SQL Server组"，鼠标右键点击SQL Server服务器的名称 2。选择"属性" 3。再选择"安全性"选项卡 4。在"身份验证"下，选择"SQL Server和 Windows" 5。确定,并重新启动SQL Server服务

问题五、用户 'sa' 登录失败。该用户与可信 SQL Server 连接无关联。
解决方法：检查你的数据库的认证模式，windows 和混合模式，需要SA登陆的请选择混合模式。
检查计算机1433连接端口，1434数据端口是否打开
针对sql 2005 进入管理器中“安全”==》“用户”==》双击用户（弹出属性对话框）==》“状态”把状态改成enable，退出管理器重新登录（用户验证模式）

即：右键数据库属性对话框，选择“安全性”选项卡，服务器身份验证模式选择“SQL Server和Windows身份验证模式。然后重新配置sa的登陆信息即可。

SQL SERVER 2005使用sa 登录失败-提示该用户与可信 SQL Server 连接无关联
错误提示：

sa 登录失败，提示该用户与可信 SQL Server 连接无关联

解决方法：
打开SQL Server Management Studio Express，
右键点击服务器，选择Properties(属性),在弹出窗口中点击Security(安全)切换到安全面板，
将server authentication服务器认证从windows authentication mode（windows用户认证模式）
修改为Sql Server and Windows Authentication mode（Sql server和windows认证模式），ok。

打开security(安全性) -- logins(登录名) ，右键选中sa，选择properties(属性)，点击Status(状态)切换到状态面板，将Login(登录)设置为Enabled(启用)。
切记：一定要把SQL2005服务重启才生效。

关于在xp系统上sql2005创建用户失败的问题(已解决)

Sqlexpress中创建对于登录“worthcom”失败。 (Microsoft.SqlServer.Smo) 执行 Transact-SQL语句或批处理时发生了异常。此版本的 Microsoft Windows 不支持 MUST_CHANGE 选项。 (Microsoft SQL Server，错误: 15195)
解决方法:只需创建时取消强制密码过期选项

本文链接

博客园_沐海—化茧成蝶

一大清早的惊醒，看别人SQL注入之后，加强学习SQL和参数化查询。

（井底之蛙）惭愧丢人的两段代码---希望以后多多长进，警醒自己

项目讨论记

JS插入排序算法

一切磨难，从今天，从现在，才刚刚开始。过去都是开胃小菜。家伙，你自己珍重。

自己的理想，成长过程逐渐明确

脱离SVN版本控制。DAT文件语句。

从0开始--倒序输出。

动软版本问题 +修改时，参数化查询时，提示少了某些参数， 但在数据库中这些参数为空。

Sql Server 2005 用户 'sa' 登录失败。该用户与可信 SQL Server 连接无关联

动软版本问题 +修改时，参数化查询时，提示少了某些参数，但在数据库中这些参数为空。