软件开发培训班 >> 编程开发 >> Access


ACCESS的参数化查询,附VBSCRIPT(ASP)和C#(ASP.NET)函数

  本文标签:ACCESS,参数化,查询

近期因 名目需求用ACCESS做数据库开发WEB 名目
看论坛上还许多人问及ACCESS被注入的安全问题
许多人解决的 步骤 依旧是用Replace替换特别字符,但是这样做也并没有起到太大做用
今日我就把我用ACCESS参数化 查问的一些 步骤和 教训和大家分享
盼望对大家有所启示,有写的不对的地方 盼望高手们多多指教

ASP.NET 用OleDbCommand的new OleDbParameter 缔造参数货 查问
ASP用Command的CreateParameter  步骤 缔造参数化 查问
(SQL 储存过程 查问也是用这个 步骤 构建的)

ASP.NET C#语法
----------------------------------------------------------------------------

复制代码 代码如下:

OleDbParameter parm = new OleDbParameter(Name, Type, Direction, Size, Value);
(实际上它有七重载大家具体大家 可以在VS.net里面就 可以看到)
参数
Name        可选,字符串,代表 Parameter 对象名称 。
Type        可选,长整型值,指定 Parameter 对象数据类型 。
Direction   可选,长整型值,指定 Parameter 对象类型 。 。
Size        可选,长整型值,指定参数值最大长度(以字符或字节数为单位) 。
Value       可选,变体型,指定 Parameter 对象的值 。
以下是实例, 查问news表中全部tsing发表的新闻
  -------------------------------------------------------
  sql="select * from newss where username=? order by id"
 // 留神 查问的条件均用?号 示意
  OleDbConnection conn = new OleDbConnection(connString);
  OleDbCommand cmd = new OleDbCommand(sql,conn); 
  OleDbParameter parm = new OleDbParameter("temp",OleDbType.VarChar, 50);
  //temp为Parameter对象可 随便定义,OleDbType.VarChar指定为字符串,长度50
  parm.Direction = ParameterDirection.Input;
  //指定其类型输入参数
  cmd.Parameters.Add(parm);
 cmd.Parameters["temp"].Value = "tsing";
  // 查问tsing,也 可以写成cmd.Parameters[0]
 conn.Open();
 cmd.ExecuteReader();

----------------------------------------------------------------------------
ASP VBSCRIPT语法
----------------------------------------------------------------------------

复制代码 代码如下:

Set parameter = command.CreateParameter (Name, Type, Direction, Size, Value)
参数同上
以下是实例, 查问news表中全部tsing发表的新闻
  ------------------------------------------------------
  et conn = Server.CreateObject("Adodb.Connection")
  conn.ConnectionString = connString
  conn.open()
  set mycmd = Server.CreateObject("ADODB.Command")
  mycmd.ActiveConnection=conn
  mycmd.CommandText=sql
  mycmd.Prepared = true
  set mypar = mycmd.CreateParameter("temp",129,1,50,"tsing")
  mycmd.Parameters.Append mypar
  set myrs = mycmd.Execute

---------------------------------------------------------------------------
与上面 根本 雷同不同的地 步骤是asp在对参数的 抒发上面不同
  129为adChar,1便是 批示输入参数(是其实是默许值)
大家请参阅MICROSOFT的ADOVB.Inc:

复制代码 代码如下:

  ----   ParameterDirectionEnum   Values   ----   
  Const   adParamUnknown   =   0   
  Const   adParamInput   =   1   
  Const   adParamOutput   =   2   
  Const   adParamInputOutput   =   3   
  Const   adParamReturnValue   =   4  
----   DataTypeEnum   Values   ----   
  Const   adEmpty   =   0   
  Const   adTinyInt   =   16   
  Const   adSmallInt   =   2   
  Const   adInteger   =   3   
  Const   adBigInt   =   20   
  Const   adUnsignedTinyInt   =   17   
  Const   adUnsignedSmallInt   =   18   
  Const   adUnsignedInt   =   19   
  Const   adUnsignedBigInt   =   21   
  Const   adSingle   =   4   
  Const   adDouble   =   5   
  Const   adCurrency   =   6   
  Const   adDecimal   =   14   
  Const   adNumeric   =   131   
  Const   adBoolean   =   11   
  Const   adError   =   10   
  Const   adUserDefined   =   132   
  Const   adVariant   =   12   
  Const   adIDispatch   =   9   
  Const   adIUnknown   =   13   
  Const   adGUID   =   72   
  Const   adDate   =   7   
  Const   adDBDate   =   133   
  Const   adDBTime   =   134   
  Const   adDBTimeStamp   =   135   
  Const   adBSTR   =   8   
  Const   adChar   =   129   
  Const   adVarChar   =   200   
  Const   adLongVarChar   =   201   
  Const   adWChar   =   130   
  Const   adVarWChar   =   202   
  Const   adLongVarWChar   =   203   
  Const   adBinary   =   128   
  Const   adVarBinary   =   204   
  Const   adLongVarBinary   =   205