問題タブ [sql-parametrized-query]

私のコードでは、パラメータの方向を割り当てたいのですが、その方法がわかりません。

「@@ret_val」のParameterDirectionを割り当てたい。

SqlCommand.Parameters.AddWithValueメソッドはインジェクションセーフですか?

ペイロードObjectの

mysqli_escape_string最近、パラメトリゼーションとその利点を友人に説明していたところ、彼は、セキュリティの観点よりも優れていると尋ねました。具体的には、入力文字列が (mysqli_escape_string を使用して) エスケープされているにもかかわらず成功する SQL インジェクションの例を思いつきますか?

アップデート：

元の質問で十分に明確でなかったことをお詫びします。ここでの一般的な質問は、入力文字列をエスケープしても SQL インジェクションは可能かということです。

WARNINGS_INFOコードやレベルなどの特定の警告メッセージに関する情報と、出力メッセージの印刷方法を説明する文字列を含むテーブルがあります。

GENERATED_WARNINGSSQLバッチから生成されたすべての警告を含むテーブルがあると仮定します。

Rまた、列を持つ別のテーブルがCありATTRIB、明らかに、ROW_IDを参照する主キー列がありWARN_ROW_IDます。

STR_FORMATSQLに、最後のテーブルの列のデータを使用して文字列を文字列に動的に変換する方法はありますか？

私は次のコードを持っています:

ParameterName、ParameterValue、ParameterConditionすべて同じ長さArrayListですが、コードは正しく動作しません。すべての変数に値があることを確認しました。

コードを実行すると、構文エラーが報告されます:「クエリ式に操作がありません」

問題は、(、、、.... いくつかの論理 SQL 演算子) のような値を持つことですParameterCondition。'>''<''='

編集: パラメータに条件を含めるにはどうすればよいですか?

したがって、基本的にMySQL dbから1.5Kのゲームサーバーアドレスをダウンロードするソフトウェアがあります。次に、それらすべてに ping を送信し、オンライン プレーヤーなどの情報をデータベースにアップロードします。プロセスは次のようになります。

1. ダウンロードサーバーアドレス
2. サーバーに ping を実行して情報を取得する
3. 情報をデータベースにアップロードする

これまでのところ、サーバーのホスト名をダウンロードしてpingを実行する部分を解決できましたが、サーバーの更新時に問題が発生します。

更新するには、for ループを使用して多くの更新ステートメントの 1 つの大きな文字列を作成し、一度に実行することを考えましたが、これは sql インジェクションを起こしやすいです。したがって、理想的には、準備済みステートメントを使用したいと思うでしょう。

私が使用しているSQL更新ステートメントは次のとおりです。

私の質問は次
のとおりです。パラメーター化されたクエリを使用して、1.5K の更新ステートメントをすべて実行するにはどうすればよいですか?

実は疑問があるので、クリアしてください。2行で同じ作業を行います。以下を参照してください

どちらの行も同じように機能します。

サイズを指定しない場合、サイズはデフォルトでパラメーターの値である文字列の長さに設定されます。型を省略すると、パラメーター値の型が調べられ、大きな case ステートメントを使用してオブジェクトの型がマップされます。関連する Sql タイプに。自分でタイプを指定すると、コードを実行する必要がなくなり、コードのパフォーマンスが向上することは明らかです。

コードの 2 行目は 1 行目よりも時間がかかり、コードのパフォーマンスに影響を与えると思いませんか?パラメータのサイズ。ではない ？

3 つの用語 (検索パラメーター、郵便番号、アクティビティの種類) を含む検索ページがあります。

私はSQLを構成する関数を実行しました:(これは実際の関数ではなく、単純化された関数です)。フィルタリングするパラメーターを指定して使用することも、パラメーターを指定せずにすべてを取得することもできます。

この関数は機能します。SQL は適切に構成されています。任意のパラメータを入力するか、何も入力せず、項目の配列を返します。

パラメータ化されたクエリを作成したいのですが、これが私のアプローチです：

この関数は常に、空の $item_array Array () ではなく Array(Array(),Array()) を返します。これは、結果を正常にバインドしない場合に可能になります。実行は結果を返しません。

私もやろうとしました：

('ssi',$s,$postal_code,$activity) のような配列を作成して call_user_func_array() を呼び出すには:

私も試します：

そして、このアプローチはまだデータを返していません。

パラメータ化されたクエリで機能させるために、今何を試すことができますか?

どんな助けでも大歓迎です：D

私は Python を発見しましたが、理解できないエラーで立ち往生しています。

例から理解したように、パラメーターを使用して SQL Server データベースにクエリを実行する場合、その方法は次のとおりです。

次のコードを実行するとすぐに、次のエラーが表示されます。

トレースバック (最後の最後の呼び出し):
ファイル "C:\Program Files (x86)\Python\lib\site-packages\pypyodbc.py"、1171 行目、準備
check_success(self, ret)
ファイル "C:\Program Files (x86)\Python\lib\site-packages\pypyodbc.py"、937 行目、check_success
ctrl_err(SQL_HANDLE_STMT, ODBC_obj.stmt_h, ret, ODBC_obj.ansi)
ファイル "C:\Program Files (x86)\Python\lib \site-packages\pypyodbc.py"、919 行目、ctrl_err
raise DatabaseError(state,err_text)
pypyodbc.DatabaseError: ('07009', '[07009] [Microsoft][ODBC SQL Server Driver]Invalid Descriptor Index')

上記の例外の処理中に、別の例外が発生しました:

トレースバック (最新の呼び出しが最後):
ファイル "\MFRAME\Data\Profiles\Arsene\Desktop\query.py"、7 行目、
cursor.execute('select 1 where ? = ?', ['1', '2 ']);
ファイル "C:\Program Files (x86)\Python\lib\site-packages\pypyodbc.py"、1398 行目、execute
self.prepare(query_string)
ファイル "C:\Program Files (x86)\Python\lib\ site-packages\pypyodbc.py"、1174 行目、準備中
if sys.exc_info()[1][0] == '07009':
TypeError: 'DatabaseError' object does not support indexing

インデックス作成をサポートしていないものは何ですか? ステートメントはどのようにexecute正しく記述すればよいですか?