SQL參數化查詢與問號

在查閱SQL文檔時，您可能會在查詢中遇到問號（?）。這些佔位符代表參數化查詢，廣泛用於在程序中執行動態SQL。

參數化查詢具有諸多優勢。它們通過將參數值與查詢本身分離來簡化代碼，使其更高效、更靈活。此外，它們通過防止SQL注入攻擊來增強安全性。

例如，在一個偽代碼示例中：

ODBCCommand cmd = new ODBCCommand("SELECT thingA FROM tableA WHERE thingB = 7")
result = cmd.Execute()

可以改寫為：

ODBCCommand cmd = new ODBCCommand("SELECT thingA FROM tableA WHERE thingB = ?")
cmd.Parameters.Add(7)
result = cmd.Execute()

此技術確保正確的字符串轉義，消除了SQL注入的風險。考慮以下場景：

string s = getStudentName()
cmd.CommandText = "SELECT * FROM students WHERE (name = '"   s   "')"
cmd.Execute()

如果用戶輸入字符串 Robert'); DROP TABLE students; --，則可能發生SQL注入攻擊。但是，使用參數化查詢：

s = getStudentName()
cmd.CommandText = "SELECT * FROM students WHERE name = ?"
cmd.Parameters.Add(s)
cmd.Execute()

庫函數會對輸入進行清理，防止惡意代碼執行。

或者，Microsoft SQL Server 使用命名參數，這提高了可讀性和清晰度：

cmd.Text = "SELECT thingA FROM tableA WHERE thingB = @varname"
cmd.Parameters.AddWithValue("@varname", 7)
result = cmd.Execute()