问题标签 [parameterized-query]

我正在使用 C# 对 SQL Server 2005 实例进行参数化查询，并且我想查看针对数据库运行的 SQL 以进行调试。在数据库日志或 Visual Studio 调试器中，我是否可以在某个地方查看参数化命令的输出 SQL 是什么？

我有一个针对 SQL2005 的参数化 SQL 查询，它是在代码中动态创建的，所以我使用 ADO.NETSqlParameter类将 sql 参数添加到SqlCommand.

在上述 SQL 中，我从具有默认值的表值函数中进行选择。我希望我的动态 sql 有时为这些默认参数指定一个值，而其他时候我想指定应该使用 SQL DEFAULT- 如表值函数中定义的那样。

为了保持代码干净，我不想动态添加 SQLDEFAULT关键字并在使用非默认值时对其进行参数化，我只想将其设置DEFAULT为 my 的值SQLParameter。

我可以吗？在这种情况下，最佳做法是什么？

我想使用 TextBox1 值从 SqlDataSource 标记中选择数据到 gridview。如何修改文件后面的 ASP.net 代码。

我一直试图弄清楚为什么以下代码没有在我的 ResultSet 中生成任何数据：

另一方面，以下运行正常：

SCHOOL 的数据类型是 CHAR（9 字节）。而不是setString，我也试过：

我完全不知道接下来要调查什么；Eclipse 调试器说，即使在 setString 或 setCharacterStream 之后，SQL 查询也不会改变。我不确定是不是因为设置参数不起作用，或者调试器根本无法获取 PreparedStatement 中的更改。

任何帮助将不胜感激，谢谢！

我正处于基于 Microsoft ASP.NET / SQL Server 2008 的 Web 应用程序的规划阶段，在考虑数据库设计时，我开始考虑注入攻击以及我应该采用哪些策略来缓解数据库作为注入攻击的载体.

我从各种来源听说使用存储过程可以提高安全性，我还读到如果它们仍然与动态 SQL 一起使用，它们同样具有感染性，因为这会提供一个注入点

问题

是否可以在存储过程中使用参数化查询？我的想法是，如果我将存储过程的参数传递到准备好的语句中，数据库引擎将为我清理这些参数。

请仔细阅读问题。“我的代码不起作用！！！”这不是通常的愚蠢行为 问题。

当我运行此代码时出现预期错误

我收到此错误消息

您的 SQL 语法有错误...在第 1 行的 'INN('I\'m','d\'Artagnan')' 附近

但多年来我一直认为查询和数据是分开发送到服务器的，并且永远不会干扰。因此我有一些问题（尽管我怀疑有人得到答案......）

1. 它从哪里得到如此熟悉的字符串表示 - 引用和转义？是专门报告错误还是实际查询的一部分？
2. 它在现实中是如何工作的？它是否用数据替换占位符？
3. 有没有办法获得整个查询，而不仅仅是一点点，用于调试目的？

更新

mysqli按预期做：它抛出一个错误说near 'INN(?,?)'

我在 PHP 中使用参数化查询我有以下两个查询：

和

简而言之，这些问题正在“帖子”表中进行讨论，并由它们的 question_id 引用。

我的 PHP 代码中有一些冗余代码，因为我不知道足够的 mysql 来查询数据库一次以从这两个查询中获得我需要的结果。

我做得很好并处理我的 PHP 代码的冗余部分的方式是，还是有更好的方法来完成这个？

如果您选择的语言/数据库具有转义用户输入的内置函数（例如 mysql_real_escape_string），那么 SQL 参数化的参数是什么？mysql_real_escape_string 是否有可能在某些时候使应用程序易受攻击？

我使用参数化是因为我被告知/已经阅读过它是更好的方法，但我不只是想盲目地遵循。有什么见解吗？谢谢！

1. 我已经使用过参数化查询次数，我知道它有助于防止 SQL 注入。但是，我想知道我是否可以知道在参数化查询中工作以防止 SQL 注入的基本逻辑是什么，这可能很简单，但我不知道。我试图在谷歌上搜索它的基本原理，但每次我找到一个如何在 Asp.net 中使用参数化查询的示例。
2. 我知道制作一个特殊的类来停止那些在 SQL 注入中使用的特殊字符，如 (',-- 等)，但是只停止特殊字符是否完全防止 SQL 注入？
3. 最后一件事是 .net 参数化查询可以完全阻止 SQL 注入吗？

我目前正在学习参数化查询，因为使用它们有好处。

有人可以通过将此代码块转换为参数化版本来给出一些指示吗？

谢谢。