在绝对紧急情况下,我正在尝试浏览我的网站并添加参数化查询。我是新手,刚刚了解了他们。
我的问题是,我对连接类型知之甚少,而且我看到的所有示例都使用其他连接方法,这让我感到困惑。我不是特别想改变我连接到数据库的方式,因为它在很多页面上,我只是想更新我的查询以使其更安全。
这就是我连接到我的数据库的方式:
Set connContent = Server.CreateObject("ADODB.Connection")
connContent.ConnectionString = "...blah...blah...blah..."
connContent.Open
这是带参数的SQL位:
username = Trim(Request("username"))
connContent.Prepared = True
Const ad_nVarChar = 202
Const ad_ParamInput = 1
SQL = " SELECT * FROM users WHERE (username=?) ; "
Set newParameter = connContent.CreateParameter("@username", ad_nVarChar, adParamInput, 20, username)
connContent.Parameters.Append newParameter
Set rs = connContent.Execute(SQL)
If NOT rs.EOF Then
' Do something...
End If
rs.Close
这显然不起作用,但我需要知道我是否可以使用我的连接实际实现这一点,或者我是否完全错过了阻止它工作的东西?
在我出去接下来的两天调试我不熟悉的事情之前,我想知道我至少在正确的轨道上......
答案 0 :(得分:4)
第二个代码段中的代码是正确的,但应该应用于新的ADODB.Command对象,而不是Connection对象:
username = Trim(Request("username"))
'-----Added this-----
Dim cmdContent
Set cmdContent = Server.CreateObject("ADODB.Command")
' Use this line to associate the Command with your previously opened connection
Set cmdContent.ActiveConnection = connContent
'--------------------
cmdContent.Prepared = True
Const ad_nVarChar = 202
Const ad_ParamInput = 1
SQL = " SELECT * FROM users WHERE (username=?) ; "
Set newParameter = cmdContent.CreateParameter("@username", ad_nVarChar, ad_ParamInput, 20, username)
cmdContent.Parameters.Append newParameter
cmdContent.CommandText = SQL
Set rs = cmdContent.Execute
If NOT rs.EOF Then
' Do something...
End If
rs.Close
顺便说一下,有一个拼写错误的拼写为adParamInput而不是ad_ParamInput(在我的例子中已经更正)。