ADODB.Command如何写关于“IN”操作符的参数化SQL命令
日期:2014-05-16 浏览次数:20849 次
ADODB.Command怎么写关于“IN”操作符的参数化SQL命令
大家知道为了防止SQL注入式攻击,在查询数据库的时候最好用ADODB.Command创建参数化的SQL查询语句
比如
但是有个问题来了,我想用SQL的In操作符
比如这样的SQL语句:SELECT * FROM user WHERE id IN (777, 888, 999)
我就不知道怎么写参数化命令了
我写成下面这样也不对
希望大侠帮帮忙
------解决方案--------------------
只是一组id的话可以用正则表达式判断一下 /^\d+(\,\d+)*$/ ,如果测试通过可以放心用 sql拼接去解决的了。
否则的话,就转成 N 组的SELECT ...id=? OR id=? OR ...
------解决方案--------------------
http://www.cnblogs.com/lzrabbit/archive/2012/04/22/2465313.html
http://blog.csdn.net/pittroll/article/details/6641054
大家知道为了防止SQL注入式攻击,在查询数据库的时候最好用ADODB.Command创建参数化的SQL查询语句
比如
Set rs_cmd = Server.CreateObject("ADODB.Command")
rs_cmd.ActiveConnection = conn
rs_cmd.CommandText = "SELECT * FROM user WHERE id = ?"
rs_cmd.CommandType = 1 'adCmdText
rs_cmd.Parameters.Append rs_cmd.CreateParameter("id", 5, 1, -1, 888)
Set rs = rs_cmd.Execute()
'或者
Set rs = rs_cmd.Execute(, Array(888))
但是有个问题来了,我想用SQL的In操作符
比如这样的SQL语句:SELECT * FROM user WHERE id IN (777, 888, 999)
我就不知道怎么写参数化命令了
我写成下面这样也不对
rs_cmd.CommandText = "SELECT * FROM user WHERE id IN (?)"
rs_cmd.Parameters.Append rs_cmd.CreateParameter("ids", 5, 1, -1, "777,888,999")
Set rs = rs_cmd.Execute()
'或者
Set rs = rs_cmd.Execute(, Array("777,888,999"))
希望大侠帮帮忙
------解决方案--------------------
只是一组id的话可以用正则表达式判断一下 /^\d+(\,\d+)*$/ ,如果测试通过可以放心用 sql拼接去解决的了。
否则的话,就转成 N 组的SELECT ...id=? OR id=? OR ...
------解决方案--------------------
http://www.cnblogs.com/lzrabbit/archive/2012/04/22/2465313.html
http://blog.csdn.net/pittroll/article/details/6641054
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
