問題タブ [parameterized-query]

パラメータ化された入力を使用するようにハードコードされたクエリを切り替えようとしていますが、問題が発生しました。パラメータ化された一括挿入の入力をどのようにフォーマットしますか？

現在、コードは次のようになっています。

考えられる解決策（PHPとPDOを使用して単一のMySQLプリペアドステートメントに配列を挿入する方法から変更）は次のようになります。

パラメータ化されたクエリを使用して一括挿入を実行するためのより良い方法はありますか？

パラメータ化されたクエリとは何ですか？そのようなクエリの例はPHPとMySQLでどのようになりますか？

私は自分のDLLを持っています（データアクセス層用）。ユーザー入力エラーを回避するためにエスケープ文字の手法を使用していますが、最近、パラメーター化されたクエリを使用してクラスを拡張し、発生する可能性のあるすべてのエラーを防止することにしました。変更は簡単ですか、それとも難しいですか？

パラメータ化されたクエリを使用するようにクエリを変換するにはどうすればよいですか？

アイデアを明確にするためのサンプルコードをいくつか見せてください。

パラメータ化されたクエリとは何か、SQL インジェクションを回避するために MySQL データベース用に PHP に実装する方法を平易な英語で説明できる人はいますか?

名前付きパラメーターを使用しないすべてのクエリを単に拒否するだけで、SQL インジェクションのすべての脅威を完全に阻止できるようです。それを行うためにSqlサーバーを構成する方法はありますか? または、SQL パーサー全体を作成せずに各クエリを検査することにより、アプリケーション レベルでそれを強制する方法はありますか? ありがとう。

いくつかのドロップダウン メニュー/ユーザー アクションに応じて、いくつかのデータ フィードがパラメーターを SQL クエリに戻すワークブックがあります。これにより、ワークブックのトリムが維持され、計算が改善されます。アイテム レベルの詳細をすべてワークブックにローカルに保持することは実際的ではありません。

VBA の一部の要素は、これらのパラメーター化されたクエリから得られるデータの評価に依存しています。ここで問題が発生します。VBA は、マクロ内のすべてを評価する前に、パラメータがクエリに返されるのを待ちません。

フィードが更新されるまで VBA の実行をプログラムで「一時停止」するためのベスト プラクティスについて、何か考えやアドバイスがあるかどうか知りたいです。私の現在の回避策は、VBA を 2 つの部分にチャンクし、変更されたデータに依存するものを別の関数にスローし、application.ontime を使用して X 秒間一時停止することです。

これは 90% の解決策ですが、理想的とは言えません。時間の長さは任意です。非常に遅い接続では長さが不十分であり、高速な接続では不必要に遅くなります。

理想的には、Excel の準備が整うまで待ってから続行する何らかの方法があるでしょう。MS Internet Controls ライブラリを使用する場合と同様に、使用できます

IE が準備完了状態を返すまで実行を一時停止します。よりエレガントなソリューションのための戦略はありますか?

編集:以下の jon ごとに、コードを追加し、SQL クエリがどのように機能するかを説明します。

? 関連する学生 ID を渡すパラメーターです。MS クエリは、そのパラメーターのセル値を使用します。表示されるセルには、選択された学生に基づいたルックアップがあります。

(iferror は、何らかの理由で不適切な値が選択された場合に厄介なダイアログ ボックスがポップアップするのを防ぐために、任意の数値を渡すだけです)。

Q:

簡単な例を使用して、Informix データベースでパラメータ化されたクエリを使用してクエリ (select ステートメント) を実行する方法を教えてください。前もって感謝します。

編集：

私が使う

IfxConnectionとIfxCommand

URL GET パラメータに基づいて MySQL データベースから行を取得する単純な PHP スクリプトがあります。ID と呼ばれる単なる int です。

誰かが DB の行ではない int を入力したり、文字などを入力しようとしたりするなど、GET パラメータがデータベースの無効な ID になる場合は、デフォルトのレコードを表示したいと思います。

次のコードは実際に動作しますが、悪いコードだと思います。なぜなのか、どうすればいいのかわからないだけです。データベース クエリを実行する前に、ID が int であることを検証する必要があることはわかっていますが、無効な ID である整数が使用された場合の対処法は解決しません。

これを適切な質問にするために、false を返す mysqli_stmt_fetch からどのように回復すればよいでしょうか?

気楽に行きましょう、私はナブだと知っています:-)

OK、いくつかのフィードバックと実験により、PHP で ID を int としてキャストし、SQL クエリを次のように変更しました。

これは、私が考えることができるすべてのケースで機能し、安全であるようです。問題はありますか？私が持っていたものよりも良いですか？

ASP.NET ページで実行している SQL クエリがあります。最終的に解析された SQL には、WHERE [columnname] IN [values]形式の文字列値のリストが含まれている必要があります。たとえば、最終的なクエリは次のようになります。

ただし、WHERE 句の文字列値は動的である必要があります。通常、コードを便利で安全にするためにパラメータ化されたクエリを使用するので、概念的には次のようにしたいと思います。

ただし、この種の機能は .NET には存在しないようです。これを実装するにはどうすればよいですか？配列で foreach ループを使用し、各値のパラメーターとして 1 つの値を使用してクエリを実行することもできますが、配列には 100 ほどの異なる値が存在する可能性があり、それらを個別にクエリするのは非常に非効率的です。

誰かが強く型付けされた int パラメータの解決策を提案した別の質問を読みましたが、特にクライアントが入力値に影響を与える可能性が非常に高いため、文字列値で使用すると、その方法は SQL インジェクションについて不安になります。

このクエリ機能をどのように実装しますか?

DBの詳細で編集：

データベースは SQL Server 2005 です。言い忘れてすみません。

クエリ 1 と 2 の両方で、テキスト ボックスのテキストがデータベースに挿入されます。ここでのパラメーター化されたクエリの重要性は何ですか?

1. txtTagNumberクエリ パラメータとして渡す

   /li>

2. txtTagNumberクエリを作成する前に整数に変換する

   /li>

また、ここでは、正規表現の検証を使用して、不正な文字の挿入を停止します。