问题标签 [parameterized]

我有一些代码利用参数化查询来防止注入，但我还需要能够动态构造查询，而不管表的结构如何。这样做的正确方法是什么？

这是一个示例，假设我有一个包含名称、地址、电话列的表。我有一个网页，我在其中运行Show Columns并使用它们作为选项填充选择下拉列表。

接下来，我有一个名为Search的文本框。此文本框用作参数。

目前我的代码看起来像这样：

不过，我从中得到一种恶心的感觉。我使用参数化查询的原因是避免使用escape。此外，转义可能不是为转义列名而设计的。

我怎样才能确保这按我的意图工作？

编辑： 我需要动态查询的原因是模式是用户可配置的，我不会去修复任何硬编码的东西。

我一直在努力解决这个问题，并且一直被卡住，所以我想我会问。

想象两个 ActionBean，A 和 B。

A.jsp里面有这个部分：

根据“ponies”参数是否设置为打开或关闭，B ActionBean 会做一些非常有趣的事情。

当您调试请求时，参数字符串“ponies=on”是可见的，但这不是绑定到 B ActionBean 中的内容。相反，绑定的是原始 A.action 的参数。

有什么方法可以得到我想要的行为，还是我错过了一些基本的东西？

我目前正在尝试使用 NAnt 和 CruiseControl.NET 来管理我的软件开发的各个方面。目前，NAnt 几乎可以处理所有事情，包括根据我在命令行中指定的输入目标替换特定于环境的设置（例如，数据库连接字符串） 。

CruiseControl.NET 用于在提交新代码时为默认环境(dev)构建应用程序。我还希望 CruiseControl.NET 为我的其他环境测试和阶段调用构建，但我不希望每次（每天）调用开发构建时自动调用这些，因为测试和阶段部署发生的频率要低得多。测试和阶段部署仅在应用程序准备好进行 QA 时进行。

我可以通过指定多个项目来轻松做到这一点，每个环境一个。但是，我已经配置了许多项目，我的应用程序中的每个里程碑都有一个。如果我必须为每个里程碑设置 3 个项目，CruiseControl.NET 配置可能会很快失控。

这是我的问题： 我可以参数化 CruiseControl.NET 项目配置，以便 Web 界面公开参数吗？

最好（我认为），我可以在 Web 界面中公开每个环境（例如，开发、测试、阶段）的复选框。将为检查的每个环境进行构建，无论构建是强制的还是自动的。如果我可以默认选中状态会更好。

.Net 中的参数化查询在示例中总是如下所示：

但我在尝试执行以下操作时遇到了砖墙：

在哪里

• CategoryIDs 是逗号分隔的数字列表“123,456,789”（不带引号）
• 名称是一个字符串，可能带有单引号和其他坏字符

什么是正确的语法？

我在我的 C# 代码中使用参数化查询与 Oracle 数据库进行交互。我该怎么做才能以更易读的方式记录语句？

假设我有一个参数化查询，例如：

理想情况下，我希望看到替换所有参数的日志条目，以便我可以复制并粘贴语句以供以后使用：

我目前的方法是打印出参数化查询的字符串，然后遍历所有参数并使用 ToString()。如果有很多参数，这有点难以阅读。它会产生类似的东西：

我计划的另一种方法是使用 string.Replace() 函数来替换参数占位符。但也许有更好的方法来做到这一点？

提前致谢。

编辑1：

我想最好提供一些代码示例。

我以这种形式使用参数化查询（注意：我使用的是 log4net）：

我正在寻找一种方法来注销 oracle 命令对象正在使用的语句。我目前的方法（见问题）还不是很令人满意，因为不是很可读。

我希望有一些 API（甚至可能在 OracleClient 命名空间中）有助于为我解析参数化查询。我可以做一些更复杂的字符串替换或正则表达式，但我想收集一些知识。我已经对其进行了一些研究，但没有找到任何东西。

我正在尝试在 Crystal Reports Server 2008 中设置每月运行的报告，该报告将为我提供下个月的平价医疗计划终止日期。但是，据我所知，我只能给它一个特定的日期字符串，而不是“安排报告后 7 天”。我该怎么做呢？（实际上，CR2008 的问题相同，但服务器是我现在感兴趣的服务器。）

谢谢！

在 JUnit4 中使用参数化测试时，有没有办法设置我自己的自定义测试用例名称？

我想将默认值更改为[Test class].runTest[n]有意义的东西。

我一直在尝试扩展 ArrayList 类，但没有取得多大成功。我想扩展它，并能够对其进行参数化。

所以通常你有类似的东西

我想

简单地扩展 ArrayList 是行不通的。

当我尝试使用它时，我得到了错误

MyList 类型不是通用的；它不能用参数 <SomeObject> 参数化

我已经尝试过

没有成功，如果我使用类名后面的子对象，它似乎可以工作，但由于某种原因隐藏了子对象类中的方法。

任何关于如何正确工作的想法或建议都值得赞赏。

我有一个构建动态参数化 SQL 查询的应用程序。以下查询返回“在“=”或附近出现“语法错误”的内部异常...

我认为这是我将参数分配给列名的方式，但是我不确定。代码如下。

编辑：谢谢大家。所有这些答案都有帮助。=)

我正在运行 PHP 4 并通过 FreeTDS 与 MS SQL2000 数据库通信的旧系统上进行一些维护工作。我知道，听起来已经有些吓人了！

许多代码使用不安全的字符串连接来生成 SQL 查询。我做了一些工作来尝试过滤输入以使事情更安全，但这让我很头疼。

我想知道是否有什么东西可以让我在当前设置的情况下进行正确的参数化查询？此时我无法更改 PHP 或 MSSQL 的版本。