⑴ 参数化sql查询语句
使用ADO.NET的parameter来构造查询语句,运行时会自动检查参数类型是否正确,能够有效地防止SQL injection attack
string = "select * from xinxi where id=@param";
⑵ 如何支持动态拼接SQL的参数化查询求解答
remarkvarchar(100))go--写入部分测试数据insertintooswica_test_table_1select1,
'oswica',''insertintooswica_test_table_1select2,
'stone',''insertintooswica_test_table_1select3,
'nana',''insertintooswica_test_table_1select4,
'nana',''go--建立存储过程createprocoswica_proc_querytestdata(@whereSqlnvarchar(max),
@paramNameListnvarchar(max),
@paramValueListnvarchar(max))asbegindeclare@exesqlnvarchar(max)
--生成查询语句set@exesql='EXECsp_executesqlN'
'select*fromoswica_test_table_1'
+@whereSql+''
',N'''+@paramNameList+''
','
+@paramValueList+''
print@exesqlexec(@exesql)endgo--执行存储过程execoswica_proc_querytestdataN
'whereid=@idandname=@name',N
'@idint,@namevarchar(50)',N
'@id=1,@name=''oswica'''go--结果
--EXECsp_executesqlN'select*fromoswica_test_table_1whereid=@idandname=@name',N'@idint,@namevarchar(50)',@id=1,@name='oswica'
--idnameremark
-------------------------------------------------------------------------------------------------------------------------------------------------------------------1oswica--说明
--实际上我们不推荐直接在存储过程中这么使用。因为这里还是存在执行代码里面有拼接sql的情况。
--最好的办法是在程序代码里面动态拼接好然后使用参数方式动态的根据实际参数个数传入参数,已
--实现即能够兼容参数化查询又能够拼接字符串。----建议
--按照上面的说法,我们可以拼接如下sql:
--select*fromoswica_test_table_1whereid=@idandname=@name
--然后按照拼接的参数个数使用SqlCommand的Parameters动态的添加2个参数:@id和@name来达到
--目的。而在编程语言中实现动态添加参数相对比较容易,或者通过实现sqlserver的CLR存储过程来
--达到这一目的。
⑶ 在SQL中如何从数组中获取值再进行查询
----首先定义一个split函数,其作用是将字符串拆分成表
CREATEFUNCTION[fn_split]
(@SourceSqlvarchar(8000),@StrSepratevarchar(10))
RETURNS@temptable
(
[n]intNULL,
[a]varchar(100)NULL
)
AS
BEGIN
declare@iint,@nint;
set@n=0;
set@SourceSql=rtrim(ltrim(@SourceSql));
set@i=charindex(@StrSeprate,@SourceSql);
while(@i>=1)
begin
set@n=@n+1;
insert@temp([n],[a])values(@n,left(@SourceSql,@i-1));
set@SourceSql=substring(@SourceSql,@i+1,len(@SourceSql)-@i);
set@i=charindex(@StrSeprate,@SourceSql);
end
if(@SourceSql<>'')
begin
set@n=@n+1;
insert@temp([n],[a])values(@n,@SourceSql);
end
return
END
GO
--接下来利用这个函数将数组转化成表,查出A的对应值
declare@Cvarchar(100),@Dvarchar(100);
set@C='a1,a2,a3,a4,a5,a6';
set@D='b1,b2,b3,b4,b5,b6';
declare@Avarchar(10),@Bvarchar(10);
set@A='a4';
select@B=t2.afromfn_split(@C,',')t1,fn_split(@D,',')t2wheret1.n=t2.nandt1.a=@A;
select@B;
--这里将得到@B=b4
--接下来就可以使用@B了
select TOP 7 * from Data_Content where title = @B order BY ID DESC
⑷ SQL查询参数化举例
大概是在接受到$posts[age],接着$param=$_POST["age"];
再搜索这个变量里面的值,如果存在某个值就替换掉他。[*]具体你可以参考
http://bbs.cnhonker.com/forum.php?mod=viewthread&tid=5984&extra=page%3D1
⑸ MySQL中数组变量作为查询参数sql语句该如何写
$arr = new Array("1","2","3");
$sql = "select * from tab where id>".$arr[0]." and id<>".$arr[2];
简单举了个例子
⑹ sql参数化查询
既然选择CommandType.Text,就应该将参数替换到sql语句中,不要使用变量了。
cmd.CommandText = string.Format("select * from WSN where factor='{0}' and list='{1}'", factor, list);
⑺ SQL编写一个自定义函数或者存储过程,能够实现参数化查询的功能。
-- Description: 根据输入的中继及区域,确定查询的数据
-- =============================================
alter PROCEDURE 中继话务量查询
--drop PROCEDURE 中继话务量查询
--CREATE PROCEDURE 中继话务量查询
-- Add the parameters for the stored procere here
@开始日期 datetime,
@结束日期 datetime,
@查询区域 int,
@查询中继 int
AS
BEGIN
-- SET NOCOUNT ON added to prevent extra result sets from
-- interfering with SELECT statements.
SET NOCOUNT ON;
-- Insert statements for procere here
if @查询区域=99
begin /* 查询全部区域 */
if @查询中继=0
begin
SELECT exch_id, trk_in, date, total_r, bill_num
FROM trk_in_日汇总2007
WHERE (date >= @开始日期) AND (date <= @结束日期)
end
else
begin
SELECT exch_id, trk_in, date, total_r, bill_num
FROM trk_in_日汇总2007
WHERE (date >= @开始日期) AND (trk_in =@查询中继 ) and
(date <= @结束日期)
end
end
else
begin
if @查询中继=0 /* 查询全部中继*/
begin
SELECT exch_id, trk_in, date, total_r, bill_num
FROM trk_in_日汇总2007
WHERE (date >= @开始日期) AND (date <= @结束日期) AND (exch_id = @查询区域)
end
else
begin
SELECT exch_id, trk_in, date, total_r, bill_num
FROM trk_in_日汇总2007
WHERE (date >= @开始日期) AND (trk_in =@查询中继 ) and
(date <= @结束日期) AND (exch_id = @查询区域)
end
end
END
GO
⑻ sql怎么使用参数化
采用sp_executesql 系统存储过程,执行sql语句,就能传入参数,
这就是sql参数化sql脚本参数化
你可以根据上面的例子,将sql脚本中定义参数,然后后面赋值参数变量,
在查询分析器中执行,你就可以知道sql参数化的具体实现和概念了。
如有疑问,请及时沟通!
请采纳!
⑼ (VB.net) 请问,SQL的参数化查询里面,可不可以将多个para参数放在一个数组里面传递给模块
但是结果集也可以自己直接写出来的,如果在下而后语句是正确的: select * from table where id in (1,10,20); 而这里恰是ASP组合字符串,只要我们组成这种形式就可以了! dim a a ="中A24307,中AE5526,中AL3242" a = replace(a,",","','") ‘将每个,用','替换 a= "'"&a&"'" '两边再加上',这样组成了'cc','cc','cc'的形式 sql="SELECT * FROM minxi WHERE CPH in ("&a&")" set rs=server.createobject("adodb.recordset") rs.open sql,conn,3,1 不过给个建议是这些处理不如直接放在一个存储过程中! 一不小心,里边多一个'时就会出错的!
⑽ 参数化查询的SQL 指令撰写方法
在撰写 SQL 指令时,利用参数来代表需要填入的数值,例如: Microsoft SQL Server 的参数格式是以 @ 字符加上参数名称而成,SQL Server 亦支持匿名参数 ?。
SELECT * FROM myTable WHERE myID = @myID
INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4) Microsoft Access 不支持具名参数,只支持匿名参数 ?。
UPDATE myTable SET c1 = ?, c2 = ?, c3 = ? WHERE c4 = ? MySQL 的参数格式是以 ? 字符加上参数名称而成。
UPDATE myTable SET c1 = ?c1, c2 = ?c2, c3 = ?c3 WHERE c4 = ?c4 SqlCommand sqlcmd = new SqlCommand(INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4), sqlconn);
sqlcmd.Parameters.AddWithValue(@c1, 1); // 设定参数 @c1 的值。
sqlcmd.Parameters.AddWithValue(@c2, 2); // 设定参数 @c2 的值。
sqlcmd.Parameters.AddWithValue(@c3, 3); // 设定参数 @c3 的值。
sqlcmd.Parameters.AddWithValue(@c4, 4); // 设定参数 @c4 的值。
sqlconn.Open();
sqlcmd.ExecuteNonQuery();
sqlconn.Close(); $query = sprintf(SELECT * FROM Users where UserName='%s' and Password='%s',
mysql_real_escape_string($Username),
mysql_real_escape_string($Password));
mysql_query($query);
或是
$db = new mysqli(localhost, user, pass, database);
$stmt = $mysqli -> prepare(SELECT priv FROM testUsers WHERE username=? AND password=?);
$stmt -> bind_param(ss, $user, $pass);
$stmt -> execute(); PreparedStatement prep = conn.prepareStatement(SELECT * FROM USERS WHERE USERNAME=? AND PASSWORD=?);
prep.setString(1, username);
prep.setString(2, password); <cfquery name=Recordset1 datasource=cafetownsend>
SELECT *
FROM COMMENTS
WHERE COMMENT_ID =<cfqueryparam value=#URL.COMMENT_ID# cfsqltype=cf_sql_numeric>
</cfquery>