sql – 如何使用ADO查询参数指定表和字段名称?
发布时间:2021-02-09 21:07:28 所属栏目:MsSql教程 来源:网络整理
导读:我正在TADOQuery中执行UPDATE语句,我正在使用参数进行一些操作.最初,这工作正常,但我为表名和字段名添加了另一个参数,现在它正在破坏. 代码如下所示: Q.SQL.Text:= 'update :tablename set :fieldname = :newid where :fieldname = :oldid';Q.Parameters.Par
|
我正在TADOQuery中执行UPDATE语句,我正在使用参数进行一些操作.最初,这工作正常,但我为表名和字段名添加了另一个参数,现在它正在破坏. 代码如下所示: Q.SQL.Text:= 'update :tablename set :fieldname = :newid where :fieldname = :oldid'; Q.Parameters.ParamValues['tablename']:= TableName; Q.Parameters.ParamValues['fieldname']:= FieldName; Q.Parameters.ParamValues['oldid']:= OldID; Q.Parameters.ParamValues['newid']:= NewID; 我得到的错误: 我假设这是因为我使用这个字段名称两次.我可以通过第二次使用另一个唯一的字段名称来解决这个问题,但是我还有另一个错误: 如何使用参数指定要更新的表和字段? 解决方法查询参数不是为了参数化表名而设计的.您可以做的是在SQL中使用占位符作为表名,然后使用Format函数替换具有表名的那些,然后像往常一样使用其他值的参数.这仍然是SQL注入相对安全的(恶意的人必须知道精确的表名,正在使用的特定SQL语句和提供参数的值). const QryText = 'update %s set :fieldname = :newid where :fieldname = :oldid'; begin Q.SQL.Text := Format(QryText,[TableName]); Q.Parameters.ParamValues['fieldname'] := FieldName; Q.Parameters.ParamValues['oldid'] := OldID; Q.Parameters.ParamValues['newid'] := NewID; ... end; (编辑:孝感站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐
热点阅读