SQL Parametrisierte Abfrage und Frage Mark

Bei der Suche nach SQL -Dokumenten können Sie in Ihrer Abfrage auf ein Fragezeichen (?) Stoßen. Diese Platzhalter stellen parametrisierte Abfragen dar und werden häufig verwendet, um dynamische SQL in Programmen auszuführen.

Parametrisierte Abfrage hat viele Vorteile. Sie vereinfachen den Code, indem sie Parameterwerte von der Abfrage selbst trennen, wodurch er effizienter und flexibler wird. Darüber hinaus verbessern sie die Sicherheit, indem sie SQL -Injektionsangriffe verhindern.

zum Beispiel in einem Pseudo-Code-Beispiel:

ODBCCommand cmd = new ODBCCommand("SELECT thingA FROM tableA WHERE thingB = 7")
result = cmd.Execute()

kann umgeschrieben werden wie:

ODBCCommand cmd = new ODBCCommand("SELECT thingA FROM tableA WHERE thingB = ?")
cmd.Parameters.Add(7)
result = cmd.Execute()

Diese Technik sorgt für die korrekte String -Flucht und beseitigt das Risiko einer SQL -Injektion. Betrachten Sie das folgende Szenario:

string s = getStudentName()
cmd.CommandText = "SELECT * FROM students WHERE (name = '"   s   "')"
cmd.Execute()

Wenn der Benutzer den String Robert betritt, kann ein SQL -Injektionsangriff auftreten. Verwenden Sie jedoch parametrisierte Abfrage:

s = getStudentName()
cmd.CommandText = "SELECT * FROM students WHERE name = ?"
cmd.Parameters.Add(s)
cmd.Execute()

Bibliotheksfunktionen reinigen die Eingabe, um eine böswillige Codesausführung zu verhindern.

oder Microsoft SQL Server verwendet benannte Parameter, was die Lesbarkeit und Klarheit verbessert:

cmd.Text = "SELECT thingA FROM tableA WHERE thingB = @varname"
cmd.Parameters.AddWithValue("@varname", 7)
result = cmd.Execute()