⑴ sql查询中如何使用参数
这样就只能通过动态拼成SQL了。
begin
declare @sql varchar(max)
set @sql ='SELECT PERSON, POSITION
FROM TABLE_'+变量+'
WHERE TIME>1514156400'
exec (@sql)
end
⑵ sql 数据库查询怎样设置参数
直接在程序里写成变量就可以了,变量要有赋值,否则会出错
例如VB里这样写
SQL = "select * from proct where ID='" & Trim(Text1.Text) & "'"
rst4.Open SQL, con1, 1, 1
条件表示ID=Text1的Text的值
⑶ 请教sql语句中一个参数的写法。
看看我修改的,貌似楼主写的case when 语句有毛病~~~~
ALTER proc [dbo].[spGetBDass]
(@rroomid varchar(200)
)
as
declare @rroomid int
set @rroomid=1
Declare @sql varchar(8000)
Set @sql = 'Select bdid as 标单编号'
Select @sql = @sql + ',sum(case Attru when '''+Attru+''' then Val else 0 end) ['+Attru+']'
from (select distinct Attru from NegoAttru where bdid in(Select id from NegoResu where RoomId=@rroomid)) as NegoAttru
Select @sql = @sql+' from NegoAttru where bdid in(Select id from NegoResu where RoomId='''+@rroomid+''') group by bdid '
Exec (@sql)
⑷ 调用.sql文件有没有比较好的参数传递方法
d:\test.sql脚本如下: [sql] view plain select &1 from &2; exit; 执行时这样传参数:sqlplus "scott/tiger@test" @d:\test.sql sysdate al 注意:参数必须用&[1-9]表示,不然传不进去,会提示让手动输入参数 [sql] view plain C:\>sqlpl...
⑸ SQL语句中使用参数@
你不用多次执行,把多个Sql语句拼在一个字符串里然后执行就可以了。
------------------------------------------------------------------------------------------------
你的参数如果是针对同一个字段的,那用存储过程解决不了这个问题。只能拼一个字符串,例如
string[] para;//参数数组
string sql = "SELECT * FROM Table WHERE ";
for(int i=0;i<para.Length;i++)
{
//如果最后一个,不加连接词
if(i==para.Length -1)
{
sql+= "Column ="+para[i];
}
else
{
sql+="Column ="+para[i]+" or ";
}
}
⑹ 带参数的sql语句!不懂
sql ="insert into note(title,author,content) values(?,?,?)";
上面的这样的就是带参数的SQL语句。
下面的那样的就是存储过程。
set rs=server.CreateObject("adodb.recordset")
sql="select * from note"
rs.open sql,conn,1,3
rs.addnew
rs("title")=?
rs("author")=?
rs("content")=?
rs.update
rs.close
set rs=nothing
带参数的SQL语句的优点:不用关心语句的单引号的问题了
,令外可以有效的防止SQL注入的非法入侵,这样写程序在编译的时候就把那语句编译了,不会与其它字符匹配了,这就是防止SQL注入的问题了,
唯一的缺点就是占用系统资源的问题了,因为它是早被预编译好的东西,所以系统在调用的时候是直接使用的,不需要再次进行对SQL语句进行编译了,如果项目小的话,少量的这样的代码可以不用计较资源的问题了
⑺ SQL 参数查询
StringBuilderstrSql=newStringBuilder();
strSql.Append("selecttop1ManifestID,Payment,Freight,OperatingUser,OperatingDate,CreateUser,CreateDate,Remarkfromtb_Checkout");
strSql.Append("whereManifestID=@ManifestID");
SqlParameter[]parameters={
newSqlParameter("@ManifestID",SqlDbType.VarChar,10) };
parameters[0].Value=ManifestID;
Function.ExecSql()这个方法要重写一下
要把参数传过去
DbHelperSQL.Query(strSql.ToString(),parameters);
⑻ SQL 函数参数
楼主语句没有粘贴全吧?应该下面还有 from子句的。 IntervalStar 只能是某个表中的一个字段,或者是子查询另取的别名。具体还得参看from后面的对象。不可能是变量,因为变量前面得有 @ 。
根据语句来看,最后一个参数是在IntervalStar的基础上加了一个月。所以语句的目的应该是求出IntervalStar这个时间所在当月的天数,然后存在变量@days中!比如2009年11月5日减去2009年10月5日得出的就是2009年10月的天数31.
⑼ sql语句参数化
当然了,你exeDataTablePage的时候只是@sql这个变量。
根本就没把@Idx和@NO进行转换。肯定报错的。
⑽ sql语句加参数
你需要了解sql语句的拼接和一般字符串的拼接的异同.
例如:在sql脚本语句中,字符串用单引号'',这些在C#语句中拼接"sql语句"字符串时需要注意.
你可以在vs.net中写一个用字符串拼接的sql语句,最后把它赋值给一个字符串对象.然后用断点调试区查看生成的sql语句的结果,一般sql语句较长,验证的方式都是把这段sql语句到sql sever的脚本文件(.sql)中去执行一下,就知道是否正确了.当然也有先在sql server 中调试好拼接字符串后再到程序代码中去修改的.具体方式不定.
(以上是介绍的拼接sql语句方法,不过这种方式的安全性不高,常见的sql注入式攻击就是利用的拼接sql语句的缺陷.)
你还可以考虑使用带参数的存储过程来实现,这个就需要了解存储过程的一些知识了,具体的方法我就不介绍了,关于带参数的存储过程,网上有很多例子参考.