vb.net sql参数化查询空参数查询全部解决方案

最新推荐文章于 2018-11-29 14:21:09 发布
最新推荐文章于 2018-11-29 14:21:09 发布
阅读量1.6k 收藏
点赞数
文章标签: vb.net sql 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/arhaidai/article/details/77160012
版权

最近在写一个程序,用户界面有多个查询条件,如果条件不输则不加入条件,因考虑注入安全问题,不能直接拼接字符串,必须参数化查询,网上也没有找到关于这方面的案例,自己最后想了一下,用最简单原始的方法拼接语句再判断条件添加Parameters实现了功能。


 Dim SqlText As String = "SELECT [EMP_ID],[EMP_NAME],[BM_NAME] FROM [BASIC_YGZL] WHERE 1=1"
        If String.IsNullOrEmpty(TextBox_empid.Text) = False Then
            SqlText = SqlText & " AND EMP_ID = @EMP_ID"
        End If
 da = New SqlDataAdapter(SqlText, cn)
        da.SelectCommand.CommandType = CommandType.Text
 If String.IsNullOrEmpty(TextBox_empid.Text) = False Then
	SqlText = SqlText & " AND EMP_ID = @EMP_ID"
end if





                

        

        

    




    

      

        

            

              
                
                  arhaidai
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
VB使用参数查询指定数据列的内容

				
			

			

				

					05-18
				

			

		

		

			
				
VB参数查询查询数据库中符合指定数据列的内容,本例中查询城市列中的符合用户输入的城市内容,这里是测试数据库的路径,如果你的VB不是装在D盘,请修改盘符为指定盘符:D:\Program Files\Microsoft Visual Studio\VB98\NWIND.MDB,指定参数VB查询实例。
运行环境:Windows/VB6

			
		

	



                

              
                



	

		

			

				
					
VB.net  SQL BIT类型参数化查询问题

				
			

			

				

					阿牛的博客
				

				

					12-09
					
					802
					
				

			

		

		

			
				
今天做一个数据库历史表和修改表,设置数据状态时,把sql语句参数化,调试一直返回影响0行,百度一圈,群里请教无果
初步骤判断是数据类型不匹配,无奈只有自己慢慢调试,,把所有参数单独拿出来一个个试,调到BIT类型时提示数据类型不匹配
想了半天才反应过来,参数的设置的顺序可能有问题.重新修改传参的顺序,一试果然可以,赶紧写个博客记录下来,方便查询
正确的代码


出错时代码

			
		

	



                


  
              

                


	

		

			

				
					
VB.NET Access Sql参数化查询顺序问题

				
			

			

				

					阿牛的博客
				

				

					12-10
					
					842
					
				

			

		

		

			
				
在写数据库历史表和修改表操作时,用了sql参数化查询,调试发现一直返回影响0行,用字符串拼影响1行
百度一圈.群里请教无果,无奈只有自己慢慢调试
初步怀疑是参数类型设置有误,就把参数单独拿出来一个个测试,测试到bit类型时,提示类型不匹配
纠纷了近半个小时,才想起来可能是设置参数的顺序有问题,一调整下顺序,就正常了.
看了MSDN上的帮助也没有提到参数要按顺序添加,还是我没有看完整,反正先

			
		

	





	

		

			

				
					
[VB.NET]怎样使用参数查询

				
			

			

				

					VB.NET学习网-VB.NET实例、VB.NET教程、VB.NET源码下载
				

				

					12-27
					
					621
					
				

			

		

		

			
				
<!--google_ad_client = "pub-8333940862668978";/* 728x90, 创建于 08-11-30 */google_ad_slot = "4485230109";google_ad_width = 728;google_ad_height = 90;//--><script type="text/javascript"

			
		

	



		

			
		



	

		

			

				
					
VB6 SQL参数化查询模块

				
			

			

				

					weixin_30649859的博客
				

				

					05-09
					
					164
					
				

			

		

		

			
				
   熟悉VB6的朋友在写带有多个参数SQL语句的时候 ,查询脚本的参数是用&或+号连接起来吗,只有几个参数是尚可,当参数多时可读性就差多了。为了免去麻烦,因此做了此函数。
 虽然ADD的Command对象有Parameters属性,但还是自己封装了带参数查询方法,有部分参考了宁静兄的:
    

 1 Public Function AdoOpen...

			
		

	





	

		

			

				
					
使用VB.NET对ACCESS数据库进行添加,删除,插入,修改,查询等用法

				
			

			

				

					09-28
				

			

		

		

			
				
VB.NET中与ACCESS数据库进行交互是初学者和专业开发者...此外,根据实际情况,可能需要升级到更现代的数据库引擎(如SQL Server Express),以及使用更安全的连接字符串(例如,使用参数化查询来防止SQL注入攻击)。

			
		

	





	

		

			

				
					
VB.NET,ASP.NET,SQL数据库实际应用中的典型问题及解决办法

				
			

			

				

					03-11
				

			

		

		

			
				
 - **参数化查询**:防止SQL注入攻击,使用参数化命令(`SqlCommand.Parameters`)传递用户输入。  - **数据绑定**:ASP.NET控件如GridView、Repeater可直接绑定到数据源,简化数据展示。  5. **安全性问题**  - **XSS...

			
		

	





	

		

			

				
					
vb.net  access 不定项查询 添加 删除 编辑 判定

				
			

			

				

					05-10
				

			

		

		

			
				
总的来说,VB.NET结合Access数据库提供了一套实用的数据管理方案,通过编写SQL语句和使用参数化查询,可以方便地实现查询、添加、删除和编辑功能。同时,结合控件如DateTimePicker和DataGridView,能够实现用户交互...

			
		

	





	

		

			

				
					
ASP.NET(VB.NET)防SQL注入脚本程序.rar

				
			

			

				

					07-09
				

			

		

		

			
				
6. **使用ORM框架**:像Entity Framework这样的ORM(对象关系映射)框架可以自动处理SQL参数化,减少直接编写SQL语句的机会,从而降低注入风险。  7. **持续更新和维护**:定期更新和修复任何已知的安全漏洞,保持对...

			
		

	





	

		

			

				
					
VB.NET与ACCESS登录验证.zip

				
			

			

				

					01-04
				

			

		

		

			
				
VB.NET编程环境中,开发人员经常使用ACCESS数据库作为数据存储解决方案,特别是在小型应用程序或学习项目中。本案例“VB.NET与ACCESS登录验证”探讨了如何实现一个简单的用户登录系统,利用Visual Basic .NET(VB...

			
		

	





	

		

			

				
					
[VB.NET]求助!如何判断数据库里某个字段是否为!~~~

				
			

			

				

					VB.NET学习网-VB.NET实例、VB.NET教程、VB.NET源码下载
				

				

					12-29
					
					2211
					
				

			

		

		

			
				
<!--google_ad_client = "pub-8333940862668978";/* 728x90, 创建于 08-11-30 */google_ad_slot = "4485230109";google_ad_width = 728;google_ad_height = 90;//--><script type="text/javascript"

			
		

	





	

		

			

				
					
解决用 VB 中用 ADO 访问  数据库时 SQL 查询处理 Null 值的问题( 使用 iff(isNull(字段), 为时的值,不为时的值) 来处理)...

				
			

			

				

					weixin_30363817的博客
				

				

					05-31
					
					673
					
				

			

		

		

			
				
程序的环境是 VB6 + ADO + Access,在用 SQL 语句查询时,希望把两个字段合并成一个字段,但其中一个字段 Null 值直接导致两个字段合并后也变成了 Null 值。之前只能用 VB 中的 IsNull 分别处理两个字段的值,前段时间想尝试用 SQL 语句直接解决,确一直未能成功, 差点放弃之际找到了答案,总结如下:
目的:
实现 Select ( 字段1 + 字段2 ) A...

			
		

	





	

		

			

				
					
vb6.0 使用带@参数sql语句

				
			

			

				

					arg2001的博客
				

				

					06-24
					
					409
					
				

			

		

		

			
				
vb6.0 使用带@参数sql语句
当vb6.0连接sql server数据库时,使用带@参数的数据库。
如果使用sql语句直接写成“insert into table(mm) values(@xx)”, 那么程序会报错,“参数未声明”,所以要么使用存储过程,要么使用“?”。(但dbf表格没有这个问题)
当使用cmd.Parameters.Append paraOfInsert...

			
		

	





	

		

			

				
					
使用 ODBC .NET 提供程序和 Visual C# .NET 执行 SQL 参数化存储过程

				
			

			

				

					weixin_30668887的博客
				

				

					10-21
					
					126
					
				

			

		

		

			
				
http://support2.microsoft.com/kb/310130/zh-cn
此分步指导文章描述如何使用 ODBC .NET 托管提供程序和 Visual C# .Net 调用参数化 SQL Server 存储过程。尽管使用 ODBC .NET 提供程序执行参数化存储过程与使用 SQL 或 OLE DB 提供程序执行同一存储过程差别不大,但一个重要的差别是:存储过程必须使用 ODB...

			
		

	





	

		

			

				
					
参数取全部数据的几种做法

				
			

			

				

					weixin_34144450的博客
				

				

					11-29
					
					541
					
				

			

		

		

			
				
润乾报表中支持用户通过参数对数据过滤,而当多个条件联合查询时,如果某个条件没有输入值,用户会希望该条件失效,也就是条件为则视为没有这个条件,取出所有满足其它条件的数据。 例如,按照地区查询参数值输入东北,则报表展示如下: 
如该参数,则结果如下: 
下面通过一个订单信息表来看下该需求的实现过程。 首先在报表设计器中制作一个网格式报表,如图: 
并...

			
		

	





	

		

			

				
					
VB.NET 使用 OleDb 操作 Access 数据库(来自 MSDN)

					
热门推荐

				
			

			

				

					Linmson的专栏
				

				

					04-03
					
					1万+
					
				

			

		

		

			
				
VB.NET 使用 OleDb 操作 Access 数据库
这里采用 OleDb 方式对 Access 数据库进行访问,主要内容都来自 MSDN 帮助文档。建议新手注意 MSDN 的用途。
首先导入命名间 :

Imports System.Data.OleDb

然后我们要用到以下几个类,分别定义以下成员变量:

    ' 定义相关变量,其中 odAdapter odComm

			
		

	





	

		

			

				
					
VB.NET与ADO.NET:数据库访问与应用程序开发

				
			

			

				

					
				

			

		

		

			
				
此外,还将涉及ADO.NET的其他关键组件,如Connection、Command和DataReader,以及如何进行参数化查询和事务管理等,这些都是进行高效、安全数据库操作的基础。  通过学习和实践这些知识点,开发者可以熟练掌握VB.NET...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值