2

我正在为学校做 PAT,我正在做以下如何纠正它。我想发送一个输入的电子邮件地址姓名身份证号码出生日期性别城镇,所有这些都是字符串,我的声明是:

Adoquery1.sql.text := 'insert into besprekings 
                       values('email', 'name', 'Id', 'birth', 'gender', 'town')'; 

字段如下:

 Email(string), Name(string), ID(string), Birth(string), Gender(string), town(string) 

这不是真正的家庭作业,它是一个占我年数 25% 的项目。我已经完成了一切,但无法做到这一点。我们必须引入一些我们在学校没有学过的新东西,对我来说,打开邮件(windows 8)之类的程序并这样做我真的很感谢每个试图提供帮助的人。

4

1 回答 1

9

您需要使用参数化查询,以防止 SQL 注入。尽管现在在您的应用程序中可能不需要担心这件事,但最好首先养成正确执行此操作的习惯。我将展示一些代码,您可以自己弄清楚如何完成它。

首先,正确填充您的 SQL。指定要插入的列的名称,以及用于填充它们的参数名称(以 开头的部分:):

ADOQuery1.SQL.Clear;
ADOQuery1.SQL.Add('INSERT INTO beskprekings (email, name, Id)');
ADOQuery1.SQL.Add('VALUES (:email, :name, :Id)');

现在将要插入的实际值放入参数中,使用您在VALUES列表中使用的相同名称:

ADOQuery1.Parameters.ParamByName('email').Value := email;
ADOQuery1.Parameters.ParamByName('name').Value := name;
ADOQuery1.Parameters.ParamByName('id').Value := Id;

现在,执行查询。

使用参数化查询的额外好处是,一旦运行一次,您可以简单地重新填充参数并再次运行;数据库已经完成了prepare查询所需的工作(提示:我标记的词对 ADO 和其他数据库有意义——你应该研究一下),这样当你一次又一次地使用它时它会更快。

于 2012-08-06T19:35:59.297 回答