急啊,sp_executesql不能处理单引号吗听说sp_executesql是参数化传值的,可以避免注入,可是我如下的语句
SET @sql=N'update Dos set '+@column+'=1 where ip='+CHAR(39)+@ip+CHAR(39)EXEC sp_executesql @sql,N'@column VARCHAR(10),@ip VARCHAR(30)',@column,@ip