投稿
  1. 首页
  2. 安全

sql参数化查询

超级玛丽3 2023-6-11 安全 阅读 44

sql参数化查询,第1张

既然选择CommandTypeText,就应该将参数替换到sql语句中,不要使用变量了。
cmdCommandText = stringFormat("select from WSN where factor='{0}' and list='{1}'", factor, list);

SQL的核心是查询。基本语法格式SELECT–FROM—WHERE查询块组成。因此,查询命令也称作SELECT命令。
数据查询方法是:select 字段名 from 表名 where 条件

查询中使用LIMIT的使用:

1、limitn,m,n表示开始位置,m表示结束位置

2、需要注意的是:mysql支持limit

例:

1、selectfromtablenamelimit0,1

即取出第一条记录

2、selectfromtablenamelimit1,1

第二条记录

3、selectfromtablenamelimit10,20

从第11条到31条(共计20条)

两种方法:
between:
select from [tablename] where [日期] between '2008-01-01' and '2008-10-31'
--查询字段[日期]在2008-01-01(含)至2008-10-31(含)之间 表tablename的记录。
in:
1、select from [tablename] where [日期] in ('2008-01-01','2008-02-01','2008-03-01')
--查询表tablename中[日期]是2008年第一季度第一天的记录

在撰写 SQL 指令时,利用参数来代表需要填入的数值,例如: Microsoft SQL Server 的参数格式是以 @ 字符加上参数名称而成,SQL Server 亦支持匿名参数 。
SELECT FROM myTable WHERE myID = @myID
INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4) Microsoft Access 不支持具名参数,只支持匿名参数 。
UPDATE myTable SET c1 = , c2 = , c3 = WHERE c4 = MySQL 的参数格式是以 字符加上参数名称而成。
UPDATE myTable SET c1 = c1, c2 = c2, c3 = c3 WHERE c4 = c4 SqlCommand sqlcmd = new SqlCommand(INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4), sqlconn);
sqlcmdParametersAddWithValue(@c1, 1); // 设定参数 @c1 的值。
sqlcmdParametersAddWithValue(@c2, 2); // 设定参数 @c2 的值。
sqlcmdParametersAddWithValue(@c3, 3); // 设定参数 @c3 的值。
sqlcmdParametersAddWithValue(@c4, 4); // 设定参数 @c4 的值。
sqlconnOpen();
sqlcmdExecuteNonQuery();
sqlconnClose(); $query = sprintf(SELECT FROM Users where UserName='%s' and Password='%s',
mysql_real_escape_string($Username),
mysql_real_escape_string($Password));
mysql_query($query);
或是
$db = new mysqli(localhost, user, pass, database);
$stmt = $mysqli -> prepare(SELECT priv FROM testUsers WHERE username= AND password=);
$stmt -> bind_param(ss, $user, $pass);
$stmt -> execute(); PreparedStatement prep = connprepareStatement(SELECT FROM USERS WHERE USERNAME= AND PASSWORD=);
prepsetString(1, username);
prepsetString(2, password); <cfquery name=Recordset1 datasource=cafetownsend>
SELECT
FROM COMMENTS
WHERE COMMENT_ID =<cfqueryparam value=#URLCOMMENT_ID# cfsqltype=cf_sql_numeric>
</cfquery>

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/yw/13141894.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
超级玛丽3 超级玛丽3 一级用户组
0 0
上一篇 2023-06-11
下一篇 2023-06-11

发表评论

登录后才能评论

评论列表(0条)

保存