问题标签 [parameterized-query]

在使用 sqlsrv 扩展从 PHP中调用参数的 SQL Server 存储过程的文档中，它使用了一种奇怪的语法：

我期望的是：

在执行 T-SQL 存储过程的 SQL Server文档中，它只允许 EXEC | EXECUTE 作为命令字。所以我会认为查询会导致错误。

您当然可以sqlsrv_query使用指定参数（即用值替换问号）调用 EXEC SubtractVacationHours 的 SQL。

在对参数化查询进行进一步研究之后，似乎“调用”来自必须通过 ODBC 提供程序调用它。

那么第二个 EXEC 语法真的有效吗？还是通过 sqlsrv 驱动程序调用参数化存储过程必须使用 ODBC CALL 语法？

可能重复：
XKCD SQL 注入——请解释

我是 C# 的新手，我想知道。

在 C# 中构建 SQL 字符串时，为什么我们需要使用 SqlParameter 对象来表示用户的输入，而不是直接传入字符串？

使用参数化查询似乎将参数的长度设置为传入的值的长度。

做类似的事情：

导致参数为 NVARCHAR(4)，因此具有不同长度的下一个查询会丢失缓存计划并创建一个新计划。

我怎样才能改变它，让它只使用我指定的长度。

好的，我正在尝试编写一个经典的 ASP 函数，它将调用一个 SQL 函数并返回输出。我正在尝试使用参数化的 ADODB 连接，但我不太清楚这些是如何工作的。努力学习正确的方法。

SQL 函数只接受两个字符串输入，其中一个是“盐”，另一个是实际文本并将其转换为十六进制。在 SQL 中运行良好，但我无法通过经典的 ASP 运行它。

我不断收到，ADODB.Command 错误“800a0cc1”

在与请求的名称或序号对应的集合中找不到项目。

审查“Cheran Shunmugavel”答案后的新工作版本。像这样在现场打电话

< % Response.Write Decrypt(Encrypt("test")) % >

您无法将加密代码打印到页面上，因为它是二进制的。你需要一个 Binary to String 函数。我从 Sub 转换为 Function 因为我希望函数返回一个值。

这是解密功能。

（如果您能想到更好的方法，请随时改进问题标题。）

问题：考虑以下 SQLite 查询：

当我1用作参数时，我希望查询 yield 1，但它 yield 2。为什么会这样？

附加信息：

这是重现问题的最小工作示例（Android）：

这可能与参数作为字符串传递的事实有关，但是，唉，没有其他方法可以将参数传递给 SQLite API，所以我想我在这里没有做任何“错误”，它是 SQLite 的工作以适当地转换值。在使用查询的非参数化版本时，我还观察到以下情况（这可能与问题相关，也可能不相关）：

我只是碰巧看到了以下编写参数化 SQL 查询的方法：

在这里改写我的问题：

• 符号“ <<<”有什么作用？
• 我的同事说' SQL_STR'必须匹配，为什么？

我有以下查询：

现在我应该添加四个具有不同名称的参数，尽管它实际上是一个具有相同值的参数吗？ empNum

我正在使用 Npgsql 在 Postgres 数据库上发出参数化的 PostGIS 查询。问题是 Npgsql 使用简写符号转换所有参数化变量，而 PostGIS 在某些情况下不理解转换变量。

例如，假设原始查询以此开头：

Npgsql 把它变成这样：

那是行不通的。如果可以省略演员表，它会起作用，如下所示：

显然有UseCast一个参数的属性，但它不是每个 NpgsqlParameter.cs 可设置的。

除了动态构建我的查询之外，我还有其他选择吗？

我正在为此使用参数化查询。我将一个逗号分隔的唯一标识符字符串传递给该查询的拆分参数。使用几个唯一标识符可以正常工作，但我认为我达到了大约 2000 个字符的最大值。

我有大约 150 个 areaID，选择一些查询可以正常工作。选择查询失败并返回的所有区域

从字符串转换为唯一标识符时转换失败。

有什么建议可以让更多的值进入查询而不遇到这个问题？

/

我对 pdo 的这种意外行为感到困惑：

考虑我写的这个简单的查询：

这给了我预期的输出：

现在让我感到困惑的是。当我像这样复制并粘贴查询时

我希望输出也会被复制，对吗？就像：

但它不会产生那个输出！第二个查询不返回它显示的任何内容，如下所示：

为什么是这样？有人可以解释吗？

编辑

如果我删除:numResults原始和副本中的参数以及查询中的硬编码 10，它会完美运行！