0

我想知道在 ms-access through vb6 (ADODB) 中是否可以享受参数化查询的安全优势

    Set Prm = CmdEnn.CreateParameter("pText1", adBSTR, adParamInput)
    Prm.Value = pText1
    Cmd.Parameters.Append Prm

不使用存储过程。所以有类似的东西:

    Cmd.CommandText = "select * from ..."
    Cmd.CommandType = adCmdText

代替

    Cmd.CommandText = "stored_query_name"
    Cmd.CommandType = adCmdStoredProc
4

1 回答 1

0

@KekuSemau,

Cmd.CommandText = "select * from tablename where column like @pText1"
Cmd.CommandType = adCmdText
Set Prm = CmdEnn.CreateParameter("pText1", adBSTR, adParamInput)
Prm.Value = random_variable
Cmd.Parameters.Append Prm

它是这样工作的,但归根结底,我没有因为其他原因使用它。我不记得我是否必须在它周围使用单引号。

于 2013-02-03T18:11:40.437 回答