① sql拼接以后占位符填充不了怎么办
qlparameter是为了防止你的数据类型不对。 string.format(sql, '{0}',{1})是不工会管这些的,这样会造成如果有人恶意拼写参数,会执行某些恶意的sql,你的网站就危险了。
② 动态SQL中的重复占位符如何与绑定变量进行
BEGIN calc_stats(:x, :x, :y, :x); END 是一个PL/SQL 代码段,而非 insert into t6 (a,b,c) values (:x,:y,:x) 这样的DML,标准SQL语句。
在EXECUTE IMMEDIATE 中,利用USING语句绑定变量时,Oracle遵循针对PL/SQL存储过程使用占位符名称匹配的原则,而针对SQL语句则采用占位符位置匹配的原则。
PL/SQL 用户指南与参考 中的 例子如下:
动态SQL语句中的占位符与USING子句中的绑定参数是位置关联的,而不是名称关联。所以,如果在SQL语句中同样的占位符出现两次或多次,那么,它的每次出现都必须与一个USING子句中的绑定参数相关联。例如下面的动态字符串:
sql_stmt := 'INSERT INTO payroll VALUES (:x, :x, :y, :x)';
我们可以为动态字符串编写对应的USING子句:
EXECUTE IMMEDIATE sql_stmt USING a, a, b, a;
但 是,动态PL/SQL块中只有唯一的占位符才与USING子句中的绑定参数按位置对应。所以,如果一个占位符在PL/SQL块中出现两次或多次,那么所有 这样相同的占位符都只与USING语句中的一个绑定参数相对应。比如下面的例子,第一个占位符(x)与第一个绑定参数(a)关联,第二个占位符(y)与第 二个绑定参数(b)关联。
DECLARE
a NUMBER := 4;
b NUMBER := 7;
BEGIN
plsql_block := 'BEGIN calc_stats(:x, :x, :y, :x); END';
EXECUTE IMMEDIATE plsql_block
USING a, b;
...
END;
---------------------------------------------------------------------------------------------
CREATE TABLE T1 (N1 NUMBER, N2 NUMBER,N3 NUMBER,N4 NUMBER);
BEGIN
EXECUTE IMMEDIATE 'INSERT INTO T1(N1,N2,N3,N4) VALUES (:N1,:N2,:N2,:N1)' USING 1,2;
END;
/
*
ERROR at line 1:
ORA-01008: not all variables bound
ORA-06512: at line 2
BEGIN
EXECUTE IMMEDIATE 'BEGIN INSERT INTO T1(N1,N2,N3,N4) VALUES (:N1,:N2,:N2,:N1); END;' USING 1,2;
END;
/
PL/SQL procere successfully completed.
SELECT * FROM T1;
N1 N2 N3 N4
---------- ---------- ---------- ----------
1 2 2 1
----------------------------------------------
③ SQL在JSP中占位符的使用方法!~
?是个占位符这个地方是可以被替换的。
dbc.setBytes(1,password.getBytes("GB2312")); 替换第一个问号
dbc.setBytes(2,userName.getBytes("GB2312")); 替换第二个问号
sql语句也可以这样写,如下:
String strSQL ="UPDATE user SET UserPassword = '" + password + "'" + " WHERE UserName = '" + "userName" + "'";
④ sql动态查询占位符查询
sql语句,不带条件
条件拼接变量1
if 有值
条件拼接变量 + and + 条件
如:
select 1 from a
条件拼接变量
有值 name = 'aaa'
拼sql
'select 1 from a ' + 'where ' + 条件拼接变量
最后用
exec(sql语句)
⑤ SQL Server中能否使用“”占位符
sql server 好像没有占位符“?”,
我见过的有 :% ,_ ,^等
⑥ jdbc 中prepareStatement对sql中的占位符赋值问题
第一个问题: prepareStatement 传递值
prepareStatement.setObject(序号,值)需要依据数据库而定,有得从1开始,有得从 0开始。
Oracle,MySQL从 0 开始。
prepareStatement.setObject(1,12);
prepareStatement.setObject(2,13);
第二个:(?) 表示只有一个参数,等价于select *from table where field=? ,如果in 的范围中有第二个值,你那个SQL就玩不转了。建议你拼写在SQL 中select *from table where field in(12,13....) and field2 = ?
⑦ java中,sql语句里的条件采用占位符形式如 cond1=:cond1 怎么理解呢
这是一种SQL组织形式,等号之前的cond1指数据库中的字段,后面的是一个参数站位符,之后由特定的方法执行SQL语句,需要传递一个Map(由SQL中的占位符为注解,参数具体值作为映射的值)形式的集合,在执行方法中会解析参数集合并替换为真实值,然后执行SQL语句,并返回结果。
⑧ 如何使用占位符防范sql注入
使用参数化来解决,如SQL server
select * from table where name =@name
到时传参数进去,而不是拼字符
⑨ 关于SQL的一点问题~!
语法
sp_executesql [ @stmt = ] stmt
[
{, [@params=] N'@parameter_name data_type [ OUT | OUTPUT ][,...n]' }
{, [ @param1 = ] 'value1' [ ,...n ] }
]
参数
[ @stmt = ] stmt
包含 Transact-SQL 语句或批处理的 Unicode 字符串。stmt 必须是 Unicode 常量或 Unicode 变量。不允许使用更复杂的 Unicode 表达式(例如使用 + 运算符连接两个字符串)。不允许使用字符常量。如果指定了 Unicode 常量,则必须使用 N 作为前缀。例如,Unicode 常量 N'sp_who' 是有效的,但是字符常量 'sp_who' 则无效。字符串的大小仅受可用数据库服务器内存限制。在 64 位服务器中,字符串大小限制为 2 GB,即 nvarchar(max) 的最大大小。
注意:
stmt 可以包含与变量名形式相同的参数,例如: N'SELECT * FROM HumanResources.Employee WHERE EmployeeID = @IDParameter'
且[]内均为可选参数
stmt 中包含的每个参数在 @params 参数定义列表和参数值列表中均必须有对应项。
[ @params = ] N'@parameter_name data_type [ ,... n ] '
包含 stmt 中嵌入的所有参数定义的字符串。字符串必须是 Unicode 常量或 Unicode 变量。每个参数定义由参数名称和数据类型组成。n 是表示附加参数定义的占位符。在 stmt 中指定的每个参数必须在 @params 中定义。如果 stmt 中的 Transact-SQL 语句或批处理不包含参数,则不需要 @params。该参数的默认值为 NULL。
[ @param1 = ] 'value1'
参数字符串中定义的第一个参数的值。该值可以是 Unicode 常量,也可以是 Unicode 变量。必须为 stmt 中包含的每个参数提供参数值。如果 stmt 中的 Transact-SQL 语句或批处理没有参数,则不需要这些值。
[ OUT | OUTPUT ]
指示参数是输出参数。除非是公共语言运行 (CLR) 过程,否则 text、ntext 和 image 参数均可用作 OUTPUT 参数。使用 OUTPUT 关键字的输出参数可以为游标占位符,CLR 过程除外。
n
附加参数值的占位符。这些值只能为常量或变量,不能是很复杂的表达式(例如函数)或使用运算符生成的表达式。
返回代码值
0(成功)或非零(失败)
结果集
从生成 SQL 字符串的所有 SQL 语句返回结果集
这个存储过程就是用来执行字符创格式(拼接的)sql语句的
你也可以直接在其后写语句
exec sp_sp_executesql 'select * from 某表'
效果和你在查询分析器里面直接写
select * from 某表
一样 都能执行 实际上她还有一种简化方式
exec (字符串格式的sql语句)
如 exec ('select * from 某表')
第二个问题:
while中的1=1 其实没别的意思 就是恒等
和其他语言的while(ture)一样 就是个死循环 不过 只要在内部处理下 也就不再是死循环了 除非他一直都不break;跳出循环