问题标签 [sql-parametrized-query]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
c# - 如何设置参数方向?
在我的代码中,我想分配参数方向但不知道该怎么做。
我想分配“@@ret_val”的 ParameterDirection。
.net - SqlCommand.Parameters.AddWithValue 注入安全吗?
SqlCommand.Parameters.AddWithValue方法注入安全吗?
它接受Object有效载荷,那么它如何防止注入呢?
php - mysql_escape_string 漏洞
我最近在向我的朋友解释参数化及其优点,他问它比mysqli_escape_string安全性更好。具体来说,您能想到任何 SQL 注入示例,尽管输入字符串被转义(使用 mysqli_escape_string),但仍会成功?
更新:
对于我最初的问题不够清楚,我深表歉意。这里要问的一般问题是,尽管转义了输入字符串,SQL 注入是否可能?
sql - Oracle 中的参数化查询
我有一个WARNINGS_INFO表,其中包含有关特定警告消息的一些信息,例如它的代码和级别,以及一个描述如何打印输出消息的字符串。
假设我有一个表GENERATED_WARNINGS,其中包含从 SQL 批处理生成的所有警告:
另外,我还有另一个表,其中包含 columns R,C并且ATTRIB显然是一个ROW_ID主键列WARN_ROW_ID。
SQL 中有没有办法将STR_FORMAT字符串动态转换为包含最后一个表列中的数据的字符串?
vb.net - 将 SQL 条件作为 OleDb 参数传递
我有以下代码:
ParameterName, ParameterValue, ParameterConditionall are the same length ArrayList,但代码无法正常工作。我已经验证了所有变量都有值。
当我运行代码时,它报告语法错误:“查询表达式中缺少操作”
问题在于它ParameterCondition的值如 ( '>', '<', '=',.... 一些逻辑 SQL 运算符)。
编辑:如何在参数中包含条件?
java - java - MySql 中的多个更新语句
所以我有一个软件,它基本上从我的 MySQL db 下载 1.5K 游戏服务器地址。然后它会ping所有这些,然后将在线玩家等信息上传回数据库。该过程如下所示:
- 下载服务器地址
- ping 服务器并获取信息
- 将信息上传回数据库
到目前为止,我已经能够解决下载服务器主机名并 ping 它们的部分,但是在更新服务器时会出现问题。
为了更新,我考虑过使用 for 循环来构造一个包含许多更新语句的大字符串并立即执行它,但这很容易发生 sql 注入。因此,理想情况下,人们会想要使用准备好的语句。
我正在使用的 SQL 更新语句是:
所以我的问题是:
如何使用参数化查询执行所有 1.5K 更新语句?
c# - 两者参数赋值的区别
其实我有一个疑问,所以请清除它。我有 2 行做同样的工作,见下文
两条线的工作原理相同。
如果不提供大小,则大小默认为作为参数值的字符串的长度,如果省略类型,则它会查看参数值的类型并使用大 case 语句来映射对象的类型到相关的 Sql 类型。如果您自己提供类型,显然有助于您的代码的性能,这样它就不必解决它。
所以你不认为第二行代码会比第一行花费更多时间并影响代码的性能,因为第一行有特定的类型和大小,这样编译器就不会花时间找出类型和参数的大小。不是吗?
php - 组成的 mysql 查询工作,但如果在 mysqli 中参数化不工作
我有一个包含 3 个术语(搜索参数、邮政编码和活动类型)的搜索页面
我做了一个函数来编写sql:(这不是真正的函数,只是一个简化的函数)。您可以将它与要过滤的参数一起使用,也可以不使用参数来获取所有参数。
此函数有效,sql 是正确组合的,您输入任何参数或不输入任何参数并返回一个项目数组。
我想进行参数化查询,这是我的方法:
这个函数总是返回一个空的 $item_array Array () 而不是 Array(Array(),Array()) 如果我不绑定结果是可能的,执行不会返回任何结果。
我也尝试过:
要组成一个像 ('ssi',$s,$postal_code,$activity) 这样的数组来调用 call_user_func_array():
我也尝试:
而且这种方法仍然没有返回任何数据。
我现在可以尝试什么使其与参数化查询一起使用?
欢迎任何帮助:D
python - 如何在 Python 中使用 pypyodbc 进行参数化查询?
我正在发现 Python,但遇到了一个我不明白的错误。
正如我从示例中了解到的那样,使用参数查询 SQL Server 数据库时,方法是:
一旦我执行以下代码,我就会收到以下错误:
回溯(最后一次调用):
文件“C:\Program Files (x86)\Python\lib\site-packages\pypyodbc.py”,第 1171 行,在准备
check_success(self,ret)
文件“C:\Program Files (x86)\Python\lib\site-packages\pypyodbc.py",第 937 行,在 check_success
ctrl_err(SQL_HANDLE_STMT, ODBC_obj.stmt_h, ret, ODBC_obj.ansi)
文件“C:\Program Files (x86)\Python\lib \site-packages\pypyodbc.py",第 919 行,在 ctrl_err 中
引发 DatabaseError(state,err_text)
pypyodbc.DatabaseError: ('07009', '[07009] [Microsoft][ODBC SQL Server Driver]Invalid Descriptor Index')在处理上述异常的过程中,又出现了一个异常:
回溯(最后一次调用):
文件“\MFRAME\Data\Profiles\Arsene\Desktop\query.py”,第 7 行,在
cursor.execute('select 1 where ? = ?', ['1', '2 ']);
文件“C:\Program Files (x86)\Python\lib\site-packages\pypyodbc.py”,第 1398 行,在执行
self.prepare(query_string)
文件“C:\Program Files (x86)\Python\lib\ site-packages\pypyodbc.py",第 1174 行,
如果 sys.exc_info()[1][0] == '07009':
TypeError:'DatabaseError' 对象不支持索引
什么不支持索引?我应该如何正确地写execute声明?
php - 参数化 PDO 查询和“LIMIT”子句 - 不起作用
我有这样的查询:
它与 PDO 和 MySQL Workbench 完美配合(它返回 10 个我想要的 url)。
但是我尝试LIMIT使用 PDO 进行参数化:
这将返回空数组。