參數化sql語句
㈠ 參數化查詢的sql 指令撰寫方法
在撰寫 SQL 指令時,利用參數來代表需要填入的數值,例如: Microsoft SQL Server 的參數格式是以 @ 字元加上參數名稱而成,SQL Server 亦支持匿名參數 ?。
SELECT * FROM myTable WHERE myID = @myID
INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4) Microsoft Access 不支持具名參數,只支持匿名參數 ?。
UPDATE myTable SET c1 = ?, c2 = ?, c3 = ? WHERE c4 = ? MySQL 的參數格式是以 ? 字元加上參數名稱而成。
UPDATE myTable SET c1 = ?c1, c2 = ?c2, c3 = ?c3 WHERE c4 = ?c4 SqlCommand sqlcmd = new SqlCommand(INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4), sqlconn);
sqlcmd.Parameters.AddWithValue(@c1, 1); // 設定參數 @c1 的值。
sqlcmd.Parameters.AddWithValue(@c2, 2); // 設定參數 @c2 的值。
sqlcmd.Parameters.AddWithValue(@c3, 3); // 設定參數 @c3 的值。
sqlcmd.Parameters.AddWithValue(@c4, 4); // 設定參數 @c4 的值。
sqlconn.Open();
sqlcmd.ExecuteNonQuery();
sqlconn.Close(); $query = sprintf(SELECT * FROM Users where UserName='%s' and Password='%s',
mysql_real_escape_string($Username),
mysql_real_escape_string($Password));
mysql_query($query);
或是
$db = new mysqli(localhost, user, pass, database);
$stmt = $mysqli -> prepare(SELECT priv FROM testUsers WHERE username=? AND password=?);
$stmt -> bind_param(ss, $user, $pass);
$stmt -> execute(); PreparedStatement prep = conn.prepareStatement(SELECT * FROM USERS WHERE USERNAME=? AND PASSWORD=?);
prep.setString(1, username);
prep.setString(2, password); <cfquery name=Recordset1 datasource=cafetownsend>
SELECT *
FROM COMMENTS
WHERE COMMENT_ID =<cfqueryparam value=#URL.COMMENT_ID# cfsqltype=cf_sql_numeric>
</cfquery>
㈡ c# sql語句 提交內容帶有單引號導致sql語句執行失敗,如何處理
方法1:字元串格式化
例如:
string.Format("select * from 表 where 列='{0}' ",值);
方法2:參數化SQL語句
例如:
SqlParamater para=new SqlParamater("@參數",值);
"select * from 表 where 列=@參數";
㈢ sql為什麼要參數化,怎麼參數化
一、最主要是: 資料庫 機制問題,參數化 可以加快 執行效率,資料庫有個緩存區,可以緩存 非參數部分的語句(或者說 下次執行不用資料庫再次 解析語句),而不用參數,每次資料庫 都需要解析 語句
二、次要是:防止,sql語句特殊字,注入:減少,字元轉義等
三、清晰 便於理解
㈣ 如何從根本上防止 sql 注入
參數化sql語句
請採納!
具體原因,請採納以下信息:
針對於SQL注入,則是用戶提交的數據,被資料庫系統編譯而產生了開發者預期之外的動作。也就是,SQL注入是用戶輸入的數據,在拼接SQL語句的過程中,超越了數據本身,成為了SQL語句查詢邏輯的一部分,然後這樣被拼接出來的SQL語句被資料庫執行,產生了開發者預期之外的動作。
所以從根本上防止上述類型攻擊的手段,還是避免數據變成代碼被執行,時刻分清代碼和數據的界限。而具體到SQL注入來說,被執行的惡意代碼是通過資料庫的SQL解釋引擎編譯得到的,所以只要避免用戶輸入的數據被資料庫系統編譯就可以了。
現在的資料庫系統都提供SQL語句的預編譯(prepare)和查詢參數綁定功能,在SQL語句中放置佔位符'?',然後將帶有佔位符的SQL語句傳給資料庫編譯,執行的時候才將用戶輸入的數據作為執行的參數傳給用戶。這樣的操作不僅使得SQL語句在書寫的時候不再需要拼接,看起來也更直接,而且用戶輸入的數據也沒有機會被送到資料庫的SQL解釋器被編譯執行,也不會越權變成代碼。
至於為什麼這種參數化的查詢方式沒有作為默認的使用方式,我想除了兼容老系統以外,直接使用SQL確實方便並且也有確定的使用場合。
多說一點,從代碼的角度來看,拼接SQL語句的做法也是不恰當的。
㈤ ado.net 中參數化查詢sql語句,參數附近語法錯誤
exec sp_executesql N'SELECT COUNT(*) FROM T_Procts where 1=1 and ProctName=@strWhere',N'@strWhere nvarchar(4000)',@strWhere=N''
@strWhere只能是單列的值,如果要綁定多條件用字元串拼接
DECLARE @sql nvarchar(4000)
DECLARE @strWhere nvarchar(4000)
SET @strWhere =N' 1=1'
SET @sql=N'SELECT COUNT(*)'
+N' FROM T_Procts where '+@strWhere
EXEC sp_executesql @sql
㈥ 帶參數的sql語句!不懂
sql ="insert into note(title,author,content) values(?,?,?)";
上面的這樣的就是帶參數的SQL語句。
下面的那樣的就是存儲過程。
set rs=server.CreateObject("adodb.recordset")
sql="select * from note"
rs.open sql,conn,1,3
rs.addnew
rs("title")=?
rs("author")=?
rs("content")=?
rs.update
rs.close
set rs=nothing
帶參數的SQL語句的優點:不用關心語句的單引號的問題了
,令外可以有效的防止SQL注入的非法入侵,這樣寫程序在編譯的時候就把那語句編譯了,不會與其它字元匹配了,這就是防止SQL注入的問題了,
唯一的缺點就是佔用系統資源的問題了,因為它是早被預編譯好的東西,所以系統在調用的時候是直接使用的,不需要再次進行對SQL語句進行編譯了,如果項目小的話,少量的這樣的代碼可以不用計較資源的問題了