问题标签 [parameterized-query]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
php - 批量参数化插入
我正在尝试切换一些硬编码查询以使用参数化输入,但我遇到了一个问题:如何格式化参数化批量插入的输入?
目前,代码如下所示:
一个潜在的解决方案(从How to insert an array into a single MySQL Prepared statement w/ PHP and PDO修改)似乎是:
有没有更好的方法来完成带有参数化查询的批量插入?
php - 什么是参数化查询?
什么是参数化查询,在 PHP 和 MySQL 中这种查询的示例是什么?
asp.net - 参数化查询问题
我有自己的 DLL(用于数据访问层)。我使用转义字符技术来避免用户输入错误,但最近我决定通过使用参数化查询来增强我的类以防止所有可能的错误。修改是容易还是困难?
如何将查询转换为使用参数化查询?
请给我看一些示例代码来阐明这个想法。
php - 什么是用简单的英语解释的参数化查询?
谁能用简单的英语向我解释什么是参数化查询以及如何在 PHP 中为 MySQL 数据库实现它以避免 SQL 注入?
sql - 禁用 SQL Server 中不使用命名参数的所有查询?
似乎可以通过简单地拒绝所有不使用命名参数的查询来一劳永逸地阻止所有 Sql 注入威胁。有什么方法可以配置 Sql server 来做到这一点?或者通过检查每个查询而不编写整个 SQL 解析器来在应用程序级别强制执行此操作?谢谢。
vba - excel vba:暂停以完成参数化 SQL 查询?
我有一个工作簿,其中我的几个数据提要根据一些下拉菜单/用户操作将参数传递回 SQL 查询。这可以保持工作簿修剪、改进计算等 - 将所有项目级详细信息本地保存在工作簿中是不切实际的。
我的 VBA 的某些元素取决于对来自这些参数化查询的数据的评估。这里出现了问题 - VBA 在评估宏中的所有内容之前不会等待参数被传递回查询。
我很好奇是否有人对以编程方式“暂停”VBA 执行直到提要刷新的最佳实践有任何想法或建议。我现在的工作是将我的 VBA 分成两部分,将依赖于更改数据的任何内容放入单独的函数中,然后使用 application.ontime 暂停 X 秒。
这是一个 90% 的解决方案,但并不理想。时间长度是任意的——在一个非常慢的连接上它不够长,而在一个快速的连接上它是不必要的慢。
理想情况下,会有某种方式等到 Excel 准备好然后继续。类似于使用 MS Internet 控件库时可以使用的方式
暂停执行,直到 IE 返回就绪状态。任何更优雅的解决方案的策略?
编辑:根据下面的 jon,添加代码并解释 SQL 查询的工作原理:
这 ?是传递相关学生 ID 的参数 - MS 查询使用该参数的单元格值。它看起来的单元格只是根据选择的学生进行查找:
(iferror 只是向上传递一个任意数字,以防止在以某种方式选择了不正确的值时弹出讨厌的对话框)。
.net - 关于参数化查询
问:
请,我想问一下,如何使用 Informix 数据库中的参数化查询执行查询(选择语句),并举一个简单的例子。提前致谢。
编辑:
我用
IfxConnection和IfxCommand
php - mysqli_stmt_fetch 失败时如何检索默认行?
我有一个简单的 PHP 脚本,它根据 URL GET 参数从 MySQL 数据库中提取一行,只是一个称为 ID 的 int。
如果 GET 参数是数据库的无效 ID,例如有人输入的 int 不是数据库中的行,或者他们尝试输入字符或其他内容,我想显示默认记录。
下面的代码确实有效,但我觉得它是糟糕的代码。我只是不确定为什么,或者我应该做什么。我知道我应该在运行数据库查询之前验证 ID 是一个 int,但这并不能解决当使用一个无效 ID 的整数时该怎么做。
因此,为了使这个问题成为一个正确的问题,我应该如何从返回 false 的 mysqli_stmt_fetch 中恢复?
放轻松,我知道我是个小块头:-)
好的,通过一些反馈和实验,我在 PHP 中将 ID 转换为 int 并将 SQL 查询更改为:
这适用于我能想到的所有情况,并且似乎是安全的。任何问题?比我有的更好吗?
asp.net - 如何在 ASP.NET 中使用“WHERE [columnname] IN [values]”格式运行包含字符串值列表的 SQL 查询?
我有一个在 ASP.NET 页面中运行的 SQL 查询。最终解析的 SQL 需要包含WHERE [columnname] IN [values]格式中的字符串值列表。例如,最终查询可能如下所示:
但是,WHERE 子句中的字符串值需要是动态的。通常我使用参数化查询来使我的代码方便和安全,所以从概念上讲我想做这样的事情:
但是,.NET 中似乎不存在这种功能。我应该如何实施呢?我可以在数组上使用 foreach 循环并使用单个值作为每个值的参数运行查询,但是数组中可能有一百个左右不同的值,而且单独查询它们似乎效率很低。
我读过另一个问题,其中有人提出了一种针对强类型 int 参数的解决方案,但是当与 String 值一起使用时,这种方法会让我对 SQL 注入感到紧张,特别是因为客户端很可能能够影响输入值。
您将如何实现此查询功能?
使用数据库详细信息编辑:
数据库是 SQL Server 2005。很抱歉忘记提及。
c# - 参数化查询如何帮助防止 SQL 注入?
在查询 1 和 2 中,文本框中的文本都插入到数据库中。这里参数化查询有什么意义?
/li>txtTagNumber作为查询参数传递在构造查询之前转换
/li>txtTagNumber为整数
另外,在这里我将使用正则表达式验证来停止插入非法字符。