我正在TADOQuery中执行UPDATE语句,我正在使用参数进行一些操作.最初,这工作正常,但我为表名和字段名添加了另一个参数,现在它正在破坏.
代码如下所示:
Q.sql.Text:= 'update :tablename set :fieldname = :newid where :fieldname = :oldid'; Q.Parameters.ParamValues['tablename']:= TableName; Q.Parameters.ParamValues['fieldname']:= FieldName; Q.Parameters.ParamValues['oldid']:= OldID; Q.Parameters.ParamValues['newid']:= NewID;
我得到的错误:
我假设这是因为我使用这个字段名称两次.我可以通过第二次使用另一个唯一的字段名称来解决这个问题,但是我还有另一个错误:
如何使用参数指定要更新的表和字段?
解决方法
查询参数不是为了参数化表名而设计的.
您可以做的是在sql中使用占位符作为表名,然后使用Format函数替换具有表名的那些,然后像往常一样使用其他值的参数.这仍然是sql注入相对安全的(恶意的人必须知道精确的表名,正在使用的特定sql语句和提供参数的值).
const QryText = 'update %s set :fieldname = :newid where :fieldname = :oldid'; begin Q.sql.Text := Format(QryText,[TableName]); Q.Parameters.ParamValues['fieldname'] := FieldName; Q.Parameters.ParamValues['oldid'] := OldID; Q.Parameters.ParamValues['newid'] := NewID; ... end;
原文地址:https://www.jb51.cc/mssql/83788.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。