我正在为学校做 PAT,我正在做以下如何纠正它。我想发送一个输入的电子邮件地址、姓名、身份证号码、出生日期、性别、城镇,所有这些都是字符串,我的声明是:
Adoquery1.sql.text := 'insert into besprekings
values('email', 'name', 'Id', 'birth', 'gender', 'town')';
字段如下:
Email(string), Name(string), ID(string), Birth(string), Gender(string), town(string)
这不是真正的家庭作业,它是一个占我年数 25% 的项目。我已经完成了一切,但无法做到这一点。我们必须引入一些我们在学校没有学过的新东西,对我来说,打开邮件(windows 8)之类的程序并这样做我真的很感谢每个试图提供帮助的人。
您需要使用参数化查询,以防止 SQL 注入。尽管现在在您的应用程序中可能不需要担心这件事,但最好首先养成正确执行此操作的习惯。我将展示一些代码,您可以自己弄清楚如何完成它。
首先,正确填充您的 SQL。指定要插入的列的名称,以及用于填充它们的参数名称(以 开头的部分:):
ADOQuery1.SQL.Clear;
ADOQuery1.SQL.Add('INSERT INTO beskprekings (email, name, Id)');
ADOQuery1.SQL.Add('VALUES (:email, :name, :Id)');
现在将要插入的实际值放入参数中,使用您在VALUES列表中使用的相同名称:
ADOQuery1.Parameters.ParamByName('email').Value := email;
ADOQuery1.Parameters.ParamByName('name').Value := name;
ADOQuery1.Parameters.ParamByName('id').Value := Id;
现在,执行查询。
使用参数化查询的额外好处是,一旦运行一次,您可以简单地重新填充参数并再次运行;数据库已经完成了prepare查询所需的工作(提示:我标记的词对 ADO 和其他数据库有意义——你应该研究一下),这样当你一次又一次地使用它时它会更快。