数据库SQL文使用命令参数代替拼接SQL语句

最新推荐文章于 2021-03-27 07:32:26 发布

ameyume

最新推荐文章于 2021-03-27 07:32:26 发布

阅读量5.2k

点赞数

分类专栏：数据库文章标签： sql 数据库 sqlite insert command import

本文链接：https://blog.csdn.net/ameyume/article/details/8004911

版权

数据库专栏收录该内容

7 篇文章 0 订阅

订阅专栏

做数据库的常识，不要拼接SQL语句，应使用命令参数更安全，不需要转义。

import sqlite

//打开数据库连接
var sqlConnection = sqlite("/testParameters.db")

//创建表
if( not sqlConnection.existsTable("film") ){  
    sqlConnection.exec( "create table film(title, length, year, starring);")  
}  

//可以用@表示命名参数
var command = sqlConnection.prepare("insert into film values (@title,@length,@year, 'Jodie Foster');" )

//绑定命名参数
command.bind.parameterByNamesAt(
    title = "I'm Jack"; //字符串不需要转义
    length = 4;
    year = time.now();
).step();

//释放命令对象
command.finalize()

io.open();
for title, length, year, starring in sqlConnection.each("select * from film") {
    io.print( title, length, year, starring  )
}

使用参数是最通用,也不会出错的.拼接的sql不但容易错,还会让程序带来
sql注入的风险,这在网页应用中最明显。

摘自：sqlite语句有特殊字符，怎么处理？

百度百科：参数化查询