問題タブ [sql-parametrized-query]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票する
1 に答える
155 参照

php - CDbCriteriaのaddInCondition()メソッドは「SQLインジェクションプルーフ」ですか?

複数の入力パラメーターに CDbCriteira addInCondition() を使用したい (数値は事前定義されていません)。このメソッドはパラメータ化されたクエリを構成しますか? 私はこれについて物議を醸す考えを見つけました:

  1. はい -「CDbCriteriaを使用しているため、安全であると思います」-引用。
  2. 番号

また、 addInCondition() メソッドの仕様を調べましたが、明確にできませんでした。

0 投票する
1 に答える
95 参照

sql - レコードを更新しようとするとエラーが発生する

私のプログラムには、runSQLというタイトルの関数があります。これは次のとおりです。

そして、このコードから取得した更新文字列を使用して、データベース内のレコードを更新しようとしています:

ただし、保存ボタンをクリックすると、runSQL 関数の 7 行目 (空の行を含まないため、DataAdapter.Fill(DT) 行) で「1 つ以上の必須パラメーターに値が指定されていません」というエラーが表示されます。

これがなぜなのか、それを修正する方法を誰かが知っているのだろうかと思いました。

私が考えたことの 1 つは、更新されているテーブルには、UPDATE ステートメントで言及されているフィールド以外のフィールドがあるということです。たとえば、「TeamMember」というタイトルの Yes/no フィールドがありますが、これについては update ステートメントでは言及していません。更新機能を使用する場合、変更されていないものも含め、すべてのフィールドに値を指定する必要がありますか?

読んでくれてありがとう。

0 投票する
2 に答える
2947 参照

vb.net - パラメーターを含むステートメントで完全なクエリを表示する

vb.net でクエリをデバッグするのに問題があります。内部に値を含む完全なクエリを取得したいだけです。パラメータを使用してクエリに値を追加します。これは私のコードです:

このコードでは、次のような結果が得られます。

このような結果を得る方法:

0 投票する
1 に答える
42 参照

sql-injection - SQL インジェクションを回避するためにパラメーターを使用してクエリを作成する

以前にそれを行ったことがありますが、この場合insert into table、ターゲット テーブルの列の値が別のクエリの結果として得られるクエリがあります。それを持っていると、私parametarized queryのが正しい方法でフォーマットされているかどうかわかりません。

Sql Injection修正前の元のクエリは次のとおりです。

これは、修正を試みた後のクエリですSql Injection

ここにパラメータを追加します。

.....

....私CommandTextのが正しい方法でフォーマットされているかどうか疑問に思っています。

ありがとう

0 投票する
3 に答える
1258 参照

sql-injection - SQL インジェクションを回避するために既存の SQL クエリにパラメーターを正しく挿入する方法

私はすでにいくつかの回答を見てきましたが、私のクエリは少し異なります:

元のクエリは次のとおりです。

SQL インジェクションの変更されたクエリを次に示します。

お気づきのように、最初のクエリはUserId二重引用符で囲まれています:..." + UserID +"...そして Number私たちは一重引用符と二重引用符で囲まれています:...'" + Number + "'...

パラメータを設定する方法は次のとおりです。

UserID整数でNumber、文字列です。

それで、私の質問は、変更されたクエリが正しい方法でフォーマットされているかどうかです。@UserId元のクエリで指定されているさまざまな方法を考慮して、@Numberパラメータをクエリに入れる方法に違いはありますか?

0 投票する
2 に答える
49 参照

c# - パラメータ化されたクエリが実行された後、パラメータは ParameterCollection から削除されますか?

メソッドにはいくつかのクエリがあります。条件に応じて、特定のクエリが実行されます。各クエリは同じパラメーターを使用します。

例えば:

}

@id私の質問は、別のクエリを実行する必要があるたびにパラメーターを追加し続けるとエラーが発生するか、クエリの実行後にパラメーターが削除されるかということです。

0 投票する
1 に答える
1985 参照

c# - AddWithValue メソッドを使用して C# のストアド プロシージャにパラメーターを追加する

コード内の SQL インジェクションを修正しています。メソッドの 1 つは、ストアド プロシージャを実行し、SQL インジェクション ルールに違反するパラメーターを追加します。

今、私はパラメータを追加しています:

これは私の最後のクエリです:

私の質問は...@repNumber=@repNumber...、ストアド プロシージャに含めても問題ないのか、それとも名前付けのあいまいさが生じるのかということです。