问题标签 [sql-parametrized-query]

我正在开发一个动态应用程序，我不确定参数化查询是否可以免受 XSS、二阶攻击？你能帮助我吗？谢谢！

我以这段代码为例：

我想将 CDbCriteira addInCondition() 用于多个输入参数（数字未预定义）。此方法是否构成参数化查询？我发现对此有争议的想法：

1. 是 的 - “因为它使用 CDbCriteria 我会认为它是安全的” - 引用。
2. 不

我还查看了 addInCondition() 方法规范，但我不清楚。

我在 WCF 服务上有接受四个参数的方法。方法将处理更新语句以更新 MS SQL 数据库中的数据。我遇到的问题是我找不到将子句作为参数发送的方法。问题是 WCF 不能接受 QueryBuilder 的对象，因为它们不能被序列化。WCF 上的方法将从 asp.net 客户端页面调用（没有 ajax 内容）。

1. 表（字符串）
2. 列（字符串 []）
3. 值（字符串 []）
4. 子句 (????)

WHERE 子句应该类似于三维数组示例：

我目前缺少子句的方法

UpdateQueryBuilder() 是 code-engine.com 创建参数化查询的类。源代码可以在这里找到

在我的程序中，我有一个名为 runSQL 的函数，它是：

我正在尝试使用来自以下代码的更新字符串更新数据库中的记录：

但是，一旦我单击保存按钮，我会从 runSQL 函数的第 7 行收到一个错误（不包括空行，所以这是 DataAdapter.Fill(DT) 行），上面写着“没有为一个或多个必需参数提供值”。

我想知道是否有人知道这是为什么或如何解决它。

我确实想到的一件事是，在正在更新的表中，除了我的 UPDATE 语句中提到的字段之外，还有其他字段。例如，有一个名为“TeamMember”的是/否字段，我在更新声明中没有提及。使用更新功能时，我是否必须为每个字段提供值，即使是那些没有被更改的字段？

感谢阅读，希望对您有所帮助！

我在 vb.net 中调试查询时遇到了一些麻烦。我只想获得其中包含价值的完整查询。我使用参数在查询中添加值。这是我的代码：

使用此代码，我得到的结果如下：

如何得到这样的结果：

我正在使用以下代码：

我正在使用上面的代码从包含 100 个项目的 Element 列表中插入数据。我只想在一个查询中添加 100 个值，并且我知道 SQL 语句如下所示：

但我不知道如何使用该MySqlCommand.Parameters方法应用该结构。

我的目标是传递这个函数List<Element>，而不仅仅是Element创建一个INSERT语句，其中包含列表中的所有项目，仅在一个查询中执行。请问有什么帮助吗？

谢谢你。

我以前做过，但在这种情况下，我有一个insert into table查询，其中目标表的列的值来自另一个查询的结果。有了这个，我不确定我parametarized query的格式是否正确。

Sql Injection这是一个没有之前修复的原始查询：

这是我尝试修复后的查询Sql Injection：

这是我添加参数的地方：

......

....我只是想知道我CommandText的格式是否正确。

谢谢

我已经看到了一些答案，但我的查询有点不同：

这是一个原始查询：

这是 SQL 注入的修改查询：

如果您能注意到，第一个查询UserId用双引号括起来：..." + UserID +"...而 Numberus 用单引号和双引号括起来：...'" + Number + "'...

这是我设置参数的方式：

其中UserID是一个整数，Number是一个字符串。

所以，我的问题是，修改后的查询格式是否正确？@UserId考虑到原始查询中指定的不同方式，如何将@Number参数放入查询中是否有任何区别？

我的方法中有很多查询。根据条件，执行特定查询。每个查询都使用相同的参数。

例如：

}

我的问题是，如果我@id每次需要执行不同的查询时都继续添加参数，或者在执行查询后我的参数将被删除，我会出错吗？

我正在修复代码中的 SQL 注入。其中一种方法执行存储过程并添加违反 SQL 注入规则的参数：

现在，我正在添加参数：

这是我的最后一个查询：

我的问题是...@repNumber=@repNumber...在我的存储过程中是否可以，否则会产生命名歧义？