SQL参数化查询讲座 (七)

最新推荐文章于 2021-09-07 15:53:11 发布
原创 最新推荐文章于 2021-09-07 15:53:11 发布 · 1.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #command #cmd #parameters #数据库 #table

本文介绍ADO中使用参数化查询的方法,通过VB代码示例展示了如何创建参数、执行插入和查询操作。适用于提高数据库操作的安全性和效率。

ADO中,查询的一般过程是创建Connection对象连接数据库,再创建Command对象执行SQL语句或存储过程。如果SQL语句有返回数据,则用Recordset对象接收,然后以游标方式遍历Recordset中的每一行,读取查询结果(也可把整个Recordset保存到文件或数据流中)。在一般场合,Command对象可以省略,其职能由Connection对象和Recordset对象代替。不过如果采用参数化查询,则少不了Command对象。该对象创建后,先指定SQL语句(或存储过程),然后创建SQL语句中待定的各个参数,给参数赋值后再执行Command对象。

待定的参数用Parameter对象代表。在Parameter对象中,Name 属性可设置或返回参数名称,Value 属性可设置或返回参数值,Direction属性指示是输入参数、输出参数还是输入输出参数,Type属性定义参数的数据类型,其他几个属性可设置或返回参数特性。

Command对象有一个Parameters属性,它是Parameters集合类型,其中包含SQL语句(或存储过程)的所有参数。在Parameters集合中,可以通过名称或序号访问各个参数。通常,用Command对象的CreateParameter方法创建每个Parameter对象,再用Parameters集合的Append方法添加进来。Command对象还有一个布尔类型的Prepared属性,该属性如果为True,则表示该指令在第一次执行之前必须保存查询语句。

为了使大家对ADO中的参数化查询有更清晰的认识,这里举一个例子。在这个例子中,应用程序访问Access数据库。数据库路径为d:/db.mdb,里面的数据表table1包含两个数据列,其中column1为数字类型,column2为文本类型。下面的代码向数据表依次插入“西施”、“昭君”、“貂蝉”3位古代美女,然后查询插入的第二条记录,如果执行成功,会弹出对话框显示插入到表中的数据“昭君”。

 

Dim cnn As Connection  ' 连接到Access数据库

Dim cmd1 As Command  ' 插入数据的SQL命令

Dim cmd2 As Command  ' 查询数据的SQL命令

Dim rs As Recordset  ' 返回查询结果

Dim param1 As Parameter  ' 数字类型的参数

Dim param2 As Parameter  ' 文本类型的参数

 

Set cnn = New Connection

cnn.Open "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=d:/db1.mdb"

cnn.Execute "DELETE FROM table1", , adExecuteNoRecords

 

' 向数据表插入3条数据

Set cmd1 = New Command

cmd1.ActiveConnection = cnn

cmd1.CommandType = adCmdText

' 指定SQL语句

cmd1.CommandText = "INSERT INTO table1 VALUES(?,?)"

cmd1.Prepared = True

' 创建参数

Set param1 = cmd1.CreateParameter("column1", adInteger)

cmd1.Parameters.Append param1

Set param2 = cmd1.CreateParameter("column2", adVarChar, , 100)

cmd1.Parameters.Append param2

' 插入1,"西施"

param1.Value = 1

param2.Value = "西施"

cmd1.Execute , , adExecuteNoRecords

' 插入2,"昭君"

param1.Value = 2

param2.Value = "昭君"

cmd1.Execute , , adExecuteNoRecords

' 插入3,"貂蝉"

param1.Value = 3

param2.Value = "貂蝉"

cmd1.Execute , , adExecuteNoRecords

 

' 查询第2条记录

Set cmd2 = New Command

cmd2.ActiveConnection = cnn

cmd2.CommandType = adCmdText

' 指定SQL语句

cmd2.CommandText = "SELECT column2 FROM table1 WHERE column1=?"

cmd2.Prepared = True

' 创建参数并赋值

cmd2.Parameters.Append cmd2.CreateParameter("column1", adInteger, , , 2)

' 查询并显示查询结果

Set rs = cmd2.Execute

If Not rs.EOF Then

    MsgBox rs(0)

End If

 

上面的代码是用VB编写的。稍作修改,就可以移植到ASP脚本中。

godmayknow
关注
SQL优化讲座
09-10
1. **利用存储过程和参数化查询**:存储过程可以封装复杂的逻辑,参数化查询能减少解析次数,提高性能。 2. **利用索引覆盖**:设计索引时确保它包含查询所需的全部列,避免回表操作。 3. **使用适当的JOIN类型**...
大数据技术分享 Spark技术讲座 Spark SQL自适应执行大规模释放集群的力量 共24页.pdf
最新发布
07-18
其中,Spark SQL是Spark生态中用于结构化数据处理的重要组件之一。为了进一步提高Spark SQL在大规模数据处理场景下的性能,Spark社区引入了一项名为“自适应执行”(Adaptive Execution)的功能。本文将详细介绍...
maysql查询 事物
lt0318aa的博客
03-22 546
EXISTS子查询:SELECT 字段 FROM 表名 WHERE  EXISTS(查询);子查询有返回结果:EXISTS查询结果为TRUE子查询无返回结果:EXISTS查询结果为FALSE,外层查询不执行GROUP BY分组:SELECT......FROM 表名WHERE.....GROUP BY 字段  WHERE子句用来筛选 FROM 子句中指定的操作所产生的行 GROUP BY子句用来...
ADO.Net的对象模型
smallwolves
03-12 1744
ADO.Net的对象模型,包括以下个对象。Connection.Command,Parameter,Recordset,Field,Property,Error.此外,还包括四个集合,Fields,Properties,Parameters,Errors.这几个对象的功能如下:Connection对象提供与包含路径,口令和连接选项的数据源的链接;Command对象保存一个针对数据源的将被
什么是ADO?
07-10 1988
什么是ADO?转自http://blog.hjenglish.com/wcdj/articles/492035.htmlADO (ActiveX Data Objects,ActiveX数据对象)是Microsoft提出的应用程序接口(API)用以实现访问关系或非关系数据库中的数据。例如,如果您希望编写应用程序从DB2或Oracle数据库中向网页提供数据,可以将ADO程序包括在作为活动服务器页(A
提高ADO性能的优秀经验
heyongzhou的专栏
08-14 1101
 一、概述   “性能”这一术语有着几种不同的、差异微妙的含义。当人们谈到某个东西性能多少好时,他们想要表达的意思可能就是在一定的时间之内它完成了多少工作。例如,一个性能好的发动机运行起来更稳定,产生的动力更强大。对于开发小组,你同样也可能应用这个判断标准:一个性能好的开发小组工作时比较安静,而且能够生产出大量高质量的代码。对我来说,性能至少意味着两件事情——我的代码运行起来有多好,我的开
VC++下使用ADO操作数据库_ConnectionPtr、_RecordsetPtr和_CommandPtr
thanklife的专栏
09-07 1276
VC++下使用ADO操作数据库_ConnectionPtr、_RecordsetPtr和_CommandPtr(转) (1)、引入ADO类 #import "c:\program files\common files\system\ado\msado15.dll" \ no_namespace \ rename ("EOF", "adoEOF") (2)、初始化COM 在MFC中可以用AfxOleInit();非MFC环境中用: CoInitialize(NULL); CoUn..
亿诚测试:SQL注入攻击实战与防御讲座
最后,讲座还涉及了SQL注入攻击的防御措施,包括但不限于对用户输入的参数进行严格的验证和清理、使用参数化查询或预编译语句、以及定期更新和强化应用程序的安全防护机制。这些防御方法对于确保系统免受SQL注入威胁...
MySQLSQL查询性能优化技术.pptx
10-15
总结,MySQLSQL查询性能优化技术涉及广泛,包括但不限于基础准则、数据结构设计、系统监控、参数配置和动态调整等多个层面。通过综合运用这些技术,可以显著提升MySQL数据库的性能,确保系统稳定高效地运行。
ADO编程应用
java2000.net
02-21 180
ADO编程应用 ADO(ActiveX Data Objects)是基于组件的数据库编程接口,它是一个和编程语言无关的COM组件系统。本文主要介绍用ADO编程所需要注意的技巧和在VC下进行ADO编程的模式,并对C++Extensions进行了简单的讨论,希望对ADO开发人员有一定的帮助作用。因为ADO是一个和编程语言无关的COM组件系统,所以这里讨论的要点适用于所有的编程语言和编程环境,比如...
vb连接mysql未发现_vb连接mysql(错误代码)
weixin_35924166的博客
01-19 546
引用Microsoft ActiveX Data Objects 2.8 Library引用Microsoft ADO Data Control 6.0 (OLEDB)控件。添加两个文本框,三个命令按钮,一个Adodc控件。Option ExplicitDim m_conPhone As ADODB.ConnectionDim m_rsPhone As ADODB.RecordsetPrivate...
ADO 属性
C++
03-21 1160
AbsolutePage 属性 指定当前记录所在的页。 设置和返回值 设置或返回从 1 到 Recordset 对象 (PageCount) 所含页数的长整型值,或者返回以下常量。 常量 说明 AdPosUnknown Recordset 为空,当前位置未知,或者提供者不支持 AbsolutePage 属性。 AdPosBOF 当前记录指针位于 BOF(即 BO
ORA-01000:超出打开游标的最大数 的解决办法(C#)
bodybo的专栏
08-25 4387
C#包装了一个数据库操作类,提供一个批量执行sql的函数,执行中遇到【ORA-01000:超出打开游标的最大数 的解决办法】的错误。 查看MSDN的ADODB.Connection的函数Execute说明,发现是调用时一个参数的问题。下面是我包装的函数: public bool ExecuteSql(string strSql) { try
SQL --在sql语句中设置参数
xulong5000的专栏
09-29 4407
-- 来源信息 declare @sDate4 date = dateadd(DAY, -2,GETDATE()) declare @eDate4 date = dateadd(DAY, -1,GETDATE()) select V_RegNo as 会员标识,V_Source as 来源,v_time 时间 from VisitLog2019 where v_time >= @s...
VC++下使用ADO操作数据库的智能指针_ConnectionPtr、_RecordsetPtr、_CommandPtr的方法
fengzhishang2019的专栏
08-21 2万+
(1)、引入ADO类 1 2 3 #import "c:\program files\common files\system\ado\msado15.dll" \ no_namespace \ rename ("EOF", "adoEOF") (2)、初始化COM 在MFC中可以用AfxOleInit();非M
SQL参数化查询
热门推荐
zyw_anquan的专栏
03-26 4万+
SQL参数化查询 一、以往的防御方式 以前对付这种漏洞的方式主要有三种: 字符串检测:限定内容只能由英文、数字等常规字符,如果检查到用户输入有特殊字符,直接拒绝。但缺点是,系统 中不可避免地会有些内容包含特殊字符,这时候总不能拒绝入库。字符串替换:把危险字符替换成其他字符,缺点是危险字符可能有很多,一一枚举替换相当麻烦,也可能有漏网之 鱼。存储过程:把参数传到存储过程进行处理,但
mysql sql参数_MySQL数据库参数
weixin_33242795的博客
01-18 740
数据库参数MYSQL数据库的参数配置一般在my.ini配置文件中修改/添加(部分参数也可以用set global 参数名=值 做临时调整,重启后失效),配置完后需要重启数据库才生效。参数1:innodb_buffer_pool_size = Gb/MB说明:此参数类似于oracle的SGA配置,当主机做为mysql数据库服务器时,一般配置为整机内存的60%~80%。参数2:innodb_buffe...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值