⑴ sql查詢中如何使用參數
這樣就只能通過動態拼成SQL了。
begin
declare @sql varchar(max)
set @sql ='SELECT PERSON, POSITION
FROM TABLE_'+變數+'
WHERE TIME>1514156400'
exec (@sql)
end
⑵ sql 資料庫查詢怎樣設置參數
直接在程序里寫成變數就可以了,變數要有賦值,否則會出錯
例如VB里這樣寫
SQL = "select * from proct where ID='" & Trim(Text1.Text) & "'"
rst4.Open SQL, con1, 1, 1
條件表示ID=Text1的Text的值
⑶ 請教sql語句中一個參數的寫法。
看看我修改的,貌似樓主寫的case when 語句有毛病~~~~
ALTER proc [dbo].[spGetBDass]
(@rroomid varchar(200)
)
as
declare @rroomid int
set @rroomid=1
Declare @sql varchar(8000)
Set @sql = 'Select bdid as 標單編號'
Select @sql = @sql + ',sum(case Attru when '''+Attru+''' then Val else 0 end) ['+Attru+']'
from (select distinct Attru from NegoAttru where bdid in(Select id from NegoResu where RoomId=@rroomid)) as NegoAttru
Select @sql = @sql+' from NegoAttru where bdid in(Select id from NegoResu where RoomId='''+@rroomid+''') group by bdid '
Exec (@sql)
⑷ 調用.sql文件有沒有比較好的參數傳遞方法
d:\test.sql腳本如下: [sql] view plain select &1 from &2; exit; 執行時這樣傳參數:sqlplus "scott/tiger@test" @d:\test.sql sysdate al 注意:參數必須用&[1-9]表示,不然傳不進去,會提示讓手動輸入參數 [sql] view plain C:\>sqlpl...
⑸ SQL語句中使用參數@
你不用多次執行,把多個Sql語句拼在一個字元串里然後執行就可以了。
------------------------------------------------------------------------------------------------
你的參數如果是針對同一個欄位的,那用存儲過程解決不了這個問題。只能拼一個字元串,例如
string[] para;//參數數組
string sql = "SELECT * FROM Table WHERE ";
for(int i=0;i<para.Length;i++)
{
//如果最後一個,不加連接詞
if(i==para.Length -1)
{
sql+= "Column ="+para[i];
}
else
{
sql+="Column ="+para[i]+" or ";
}
}
⑹ 帶參數的sql語句!不懂
sql ="insert into note(title,author,content) values(?,?,?)";
上面的這樣的就是帶參數的SQL語句。
下面的那樣的就是存儲過程。
set rs=server.CreateObject("adodb.recordset")
sql="select * from note"
rs.open sql,conn,1,3
rs.addnew
rs("title")=?
rs("author")=?
rs("content")=?
rs.update
rs.close
set rs=nothing
帶參數的SQL語句的優點:不用關心語句的單引號的問題了
,令外可以有效的防止SQL注入的非法入侵,這樣寫程序在編譯的時候就把那語句編譯了,不會與其它字元匹配了,這就是防止SQL注入的問題了,
唯一的缺點就是佔用系統資源的問題了,因為它是早被預編譯好的東西,所以系統在調用的時候是直接使用的,不需要再次進行對SQL語句進行編譯了,如果項目小的話,少量的這樣的代碼可以不用計較資源的問題了
⑺ SQL 參數查詢
StringBuilderstrSql=newStringBuilder();
strSql.Append("selecttop1ManifestID,Payment,Freight,OperatingUser,OperatingDate,CreateUser,CreateDate,Remarkfromtb_Checkout");
strSql.Append("whereManifestID=@ManifestID");
SqlParameter[]parameters={
newSqlParameter("@ManifestID",SqlDbType.VarChar,10) };
parameters[0].Value=ManifestID;
Function.ExecSql()這個方法要重寫一下
要把參數傳過去
DbHelperSQL.Query(strSql.ToString(),parameters);
⑻ SQL 函數參數
樓主語句沒有粘貼全吧?應該下面還有 from子句的。 IntervalStar 只能是某個表中的一個欄位,或者是子查詢另取的別名。具體還得參看from後面的對象。不可能是變數,因為變數前面得有 @ 。
根據語句來看,最後一個參數是在IntervalStar的基礎上加了一個月。所以語句的目的應該是求出IntervalStar這個時間所在當月的天數,然後存在變數@days中!比如2009年11月5日減去2009年10月5日得出的就是2009年10月的天數31.
⑼ sql語句參數化
當然了,你exeDataTablePage的時候只是@sql這個變數。
根本就沒把@Idx和@NO進行轉換。肯定報錯的。
⑽ sql語句加參數
你需要了解sql語句的拼接和一般字元串的拼接的異同.
例如:在sql腳本語句中,字元串用單引號'',這些在C#語句中拼接"sql語句"字元串時需要注意.
你可以在vs.net中寫一個用字元串拼接的sql語句,最後把它賦值給一個字元串對象.然後用斷點調試區查看生成的sql語句的結果,一般sql語句較長,驗證的方式都是把這段sql語句到sql sever的腳本文件(.sql)中去執行一下,就知道是否正確了.當然也有先在sql server 中調試好拼接字元串後再到程序代碼中去修改的.具體方式不定.
(以上是介紹的拼接sql語句方法,不過這種方式的安全性不高,常見的sql注入式攻擊就是利用的拼接sql語句的缺陷.)
你還可以考慮使用帶參數的存儲過程來實現,這個就需要了解存儲過程的一些知識了,具體的方法我就不介紹了,關於帶參數的存儲過程,網上有很多例子參考.