ما هي "معلمة الاستعلام" في C++؟
https://stackoverflow.com/questions/301008
-
08-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
كنا نستخدم stringstream لإعداد استعلامات محددة في C++.ولكن ننصحنا بشدة باستخدام معلمات الاستعلام لإرسال استعلامات db2 sql لتجنب استخدام stringstream.هل يمكن لأي شخص مشاركة ما يعنيه بالضبط معلمة الاستعلام في C++؟يمكنك أيضًا مشاركة بعض نماذج مقتطفات التعليمات البرمجية العملية.
نقدر المساعدة مقدما.
يحرر:إنه stringstream وليس strstream.
شكرا ، ماثيو ليجو
المحلول
أظن أن هذا يشير إلى الاستعلامات ذات المعلمات بشكل عام، بدلاً من إنشاء الاستعلام في سلسلة، يقومون بتوفير متغيرات SQL (أو المعلمات) ثم تمرير هذه المتغيرات بشكل منفصل.هذه أفضل بكثير للتعامل مع هجمات حقن SQL.للتوضيح بمثال:
"SELECT * FROM Customers WHERE CustomerId = " + _customerId;
أمر سيء، في حين أن هذا:
"SELECT * FROM Customers where CustomerId = @CustomerId"
جيد.المهم هو أنه يتعين عليك إضافة المعلمات إلى كائن الاستعلام (لا أعرف كيف يتم ذلك في C++.
مراجع لأسئلة أخرى:
- https://stackoverflow.com/questions/1973/what-is-the-best-way-to-avoid-sql-injection-attacks
- الإجراءات المخزنة مقابل الاستعلامات ذات المعلمات
وايلد وايلد ويب:
نصائح أخرى
والاستعلام SQL في نموذج استعلام معلمات في مأمن من تنسيق سلسلة لتجنب هجوم حقن SQL. مثال استعلام معلمات
StringBuilder sqlstr = new StringBuilder();
cmd.Parameters.AddWithValue("@companyid", CompanyID);
sqlstr.Append("SELECT evtconfigurationId, companyid,
configname, configimage FROM SCEVT_CONFIGURATIONS ");
sqlstr.Append("WHERE companyid=@companyid ");
ومثال على شكل سلسلة الاستعلام
StringBuilder sqlstr = new StringBuilder();
sqlstr.Append("SELECT evtconfigurationId, companyid, configname,
configimage FROM SCEVT_CONFIGURATIONS ");
sqlstr.Append("WHERE companyid" + CompanyID);
