Question

我正在尝试使用asp经典的paramterised查询。任何帮助赞赏这是错误

用于Visual FoxPro的Microsoft OLE DB提供程序错误“80040e14” 缺少操作数。 /portal/jobportal/getaddress1.asp，第141行

function paramQuery()

code = ucase(request.querystring("code"))
stype = request.querystring("type")
cAddressType = request.querystring("caddresstype")


Set rs = Server.CreateObject("ADODB.recordset")
Set cmd = server.CreateObject("ADODB.Command")

If IsObject(Session("portal_conn")) Then
    Set conn = Session("portal_conn")
Else
    Set conn = Server.CreateObject("ADODB.Connection")
    cConnString = "Provider=vfpoledb;Data Source="+session("portaldata")+"portal.dbc" 
    conn.open cConnString,"",""
    Set Session("portal_conn") = conn
end if

cmd.ActiveConnection = conn
cmd.Prepared = true
cmd.CommandType = 1
cmd.CommandText =  "SELECT * from uaddress where userid = "+cstr(session("userid"))+" and upper(name) like ? + % "+" and type = '"+ trim(cAddresstype)+"' order by add1"

set param1 = cmd.CreateParameter("@name",200,2,40)
cmd.Parameters.append param1
cmd.Parameters("@name") = code
cmd.Execute() <-- missing operand error
rs.Open cmd

end function

Answer 1

使用SQL like子句的参数时，您需要将%作为参数值的一部分传递。

另外，为了防止SQL注入攻击，您最好还使用其他值的参数：

cmd.CommandText =  "SELECT * FROM uaddress WHERE userid=? AND UPPER(name) LIKE ? AND type=? ORDER BY add1"

set param1 = cmd.CreateParameter("@id", 200, 2, 40)
cmd.Parameters.append param1
cmd.Parameters("@id") = cstr(session("userid"))

set param2 = cmd.CreateParameter("@name", 200, 2, 40)
cmd.Parameters.append param2
cmd.Parameters("@name") = "%" & code & "%"

set param3 = cmd.CreateParameter("@type", 200, 2, 40)
cmd.Parameters.append param3
cmd.Parameters("@type") = trim(cAddresstype)

cmd.Execute()

Answer 2

您需要%字符周围的引号：

... +" and upper(name) like ? + '%' "+ ...

Answer 3

似乎VFP不支持命名参数，只需使用（？）而不是命名的param以查询中的顺序添加params，它就可以工作。

而不是：

cmd.Parameters("@name") = code

使用：

cmd.Parameters("?") = code

参数化查询asp经典缺失操作数错误

3 个答案: