在Oracle里，输入参数怎么写？_IT百科

你也没给出个表名，临时给你写个例子，自己运行看看结果吧

建表

create table orders(oid varchar2(10),

price int)插入数据

insert into orders values ('1111',100)

insert into orders values ('1111',200)

insert into orders values ('2222',400)建立存储过程

create or replace procedure p_orders

(v_oid varchar2)

v_count int

v_pirce int

begin

select count(*) into v_count from orders where oid=v_oid

if v_count=0

then

dbms_output.put_line('订单编号不存在')

else

select sum(price) into v_pirce from orders where oid=v_oid

dbms_output.put_line('编号为'||v_oid||'的订单金额为'||v_pirce)

end if

end

执行1

begin

p_orders('3333')--括号里这个就是订单编号

end这个执行结果是

执行2

begin

p_orders('1111')--括号里这个就是订单编号

end

然后你自己再改改吧

参数化SQL语句

避免SQL注入的方法有两种：

一是所有的SQL语句都存放在存储过程中，这样不但可以避免SQL注入，还能提高一些性能，并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理，不过这种做法有时候针对相同的几个表有不同条件的查询，SQL语句可能不同，这样就会编写大量的存储过程，所以有人提出了第二种方案：参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户，那么通常情况下我们的SQL语句可能是这样：

select * from UserInfo where sex=0

在参数化SQL语句中我们将数值以参数化的形式提供，对于上面的查询，我们用参数化SQL语句表示为：

select * from UserInfo where sex=@sex

再对代码中对这个SQL语句中的参数进行赋值，假如我们要查找UserInfo表中所有年龄大于30岁的男性用户，这个参数化SQL语句可以这么写：

select * from UserInfo where sex=@sex and age>@age

下面是执行这个查询并且将查询结果集以DataTable的方式返回的代码：

//实例化Connection对象

SqlConnection connection = new SqlConnection("server=localhostdatabase=pubsuid=sapwd=''")

//实例化Command对象

SqlCommand command = new SqlCommand("select * from UserInfo where sex=@sex and age>@age", connection)

//第一种添加查询参数的例子

command.Parameters.AddWithValue("@sex", true)

//第二种添加查询参数的例子

SqlParameter parameter = new SqlParameter("@age", SqlDbType.Int)//注意UserInfo表里age字段是int类型的

parameter.Value = 30

command.Parameters.Add(parameter)//添加参数

//实例化DataAdapter

SqlDataAdapter adapter = new SqlDataAdapter(command)

DataTable data = new DataTable()

上面的代码是访问SQL Server数据库的代码。如果本文中提到的数据分别在Access、MySQL、Oracle数据库，那么对应的参数化SQL语句及参数分别如下：

数据库AccessMySQLOracle

SQL语句select * from UserInfo

where sex=? and age>?select * from UserInfo

where sex=?sex and age>?ageselect * from UserInfo

where sex=:sex and age>:age

参数OleDbParameterMySqlParameterOracleParameter

实例化参数OleDbParameter p=new OleDbParameter(“?”, OleDbType. Boolean) MySqlParameter p=new MySqlParameter(“?sex”, MySqlDbType.Bit) OracleParameter p=new OracleParameter(“:sex”, OracleType.Byte)

赋值p.Value=true p.Value=1 p.Value=1

通过上面的实例代码我们可以看出尽管SQL语句大体相似，但是在不同数据库的特点，可能参数化SQL语句不同，例如在Access中参数化SQL语句是在参数直接以“?”作为参数名，在SQL Server中是参数有“@”前缀，在MySQL中是参数有“?”前缀，在Oracle中参数以“:”为前缀。

注意：因为在Access中参数名都是“?”，所以给参数赋值一定要按照列顺序赋值，否则就有可能执行出错。

Command对象传参效率测试

在.net平台，普通的insert语句有两种写法，不带参数insert into test(c1,c2) values(var1,var2)和带参数insert into test(c1,c2) values(:c1,:c2)，它们的执行效率如何呢？

做了个试验，代码如下：(数据库是oracle)

+ View Code

执行结果：

10000记录：

不传参数?5:46:19 15:46:34 15秒

传参数：?5:50:51 15:51:01 10秒

50000记录：

不传参数 16:09:03 16:10:24 81秒

传参数：：16:15:43 16:16:36 53秒

这只是2个参数的情况，如果参数很多会不会影响更大呢？

10000记录，7个参数：

不传参数：17:11:01 17:11:18 17秒

传参数：17:13:46 17:13:59 13秒

50000记录：7个参数：

不传参数：17:19:02 17:20:25 1分23秒

传参数：17:15:09 17:16:10 1分1秒

需要相差不大，但是向command对象传递参数既可以避免sql注入问题，也可以提高性能；

show parameter parameter_name用于查询相关参数设置。

alter system set parameter_name=xxxx scope=spfile该语句执行完后需要重启数据库才生效。（应对那些必须重启数据库的参数使用）

alter system set parameter_name=xxxx scope=both该语句执行完后立即生效。（应对那些可以在线修改的，且需要保存的参数）

alter system set parameter_name=xxxx ；该语句执行完后立即生效。（应对那些可以在线修改的，且不需要保存的参数，下次重启后会被改为原有值。当然，也可以自己手工改回去）

欢迎分享，转载请注明来源：内存溢出

原文地址: http://outofmemory.cn/bake/11639947.html

在Oracle里，输入参数怎么写？

发表评论

评论列表（0条）