在VB2008 速成版中使用参数化SQL查询语句无效

最新推荐文章于 2020-06-30 23:24:53 发布
最新推荐文章于 2020-06-30 23:24:53 发布
阅读量1.2k 收藏
点赞数
文章标签: sql vb parameters .net 存储
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaobineric/article/details/5383053
版权

  最近刚学会在VB2008 中使用参数化SQL语句,于是马上用到代码中,却碰到查不到任何数据的情况,纠结了好几天,还是没有搞明白,差点吐血。不得已还是先在代码中使用字符串拼接的SQL语句。

  包含参数化SQL语句的代码如下:

            Dim cmSl As New OleDbCommand("select * from PENA where VSL_VOY=@vsl_voy and POD"+ _                                                                                                                                 "LIKE @pod ",dbCon)

            Dim paPOD As New OleDbParameter("@pod", OleDbType.VarChar)
            Dim paVSL_VOY As New OleDbParameter("@vsl_voy", OleDbType.VarChar)
            
            paPOD.Value = IIf(Me.TextBoxPOD.Text.Length = 0, "%", Me.TextBoxPOD.Text.Trim.ToUpper)
            paVSL_VOY.Value = Me.TextBoxVSL_VOY.Text.Trim.ToUpper

 

            cmSl.Parameters.Add(paVSL_VOY)
            cmSl.Parameters.Add(paPOD)

           

看起来没有任何错误,执行后就是没有任何结果!

然后把参数 paPOD 或者 paVSL_VOY去掉一个,即去掉

            cmSl.Parameters.Add(paVSL_VOY) 或
            cmSl.Parameters.Add(paPOD)

其中一个,SQL语句改成

 

select * from PENA where VSL_VOY=@vsl_voy 或者

select * from PENA where POD=@pod

 

也就是只让一个参数起作用,执行后都有结果!

 

把参考书翻来翻去也没有找到结果。

 

几天后上MSDN查看OleDbCommand.Parameters 集合的说明,终于找到了答案!原话是这样的:

The OLE DB .NET Provider does not support named parameters for passing parameters to an SQL Statement or a stored procedure called by an OleDbCommand when CommandType is set to Text. In this case, the question mark (?) placeholder must be used

 

也就是说,满足以下几个条件:

1、使用OLEDB.NET provider

2、由OledbCommand对象执行SQL语句或存储过程

3、执行的语句是文本类型

那么在参数化SQL语句中不能使用有名字的参数,而必须用?号代替参数。?号出现的顺序必须与添加到Parameters集合中的参数的顺序一致。我原来的代码完全符合这三个条件,怪不得要出问题。

 

几天的纠结总算化解。谢天谢地。

 

 

xiaobineric
关注
VB+SQL Server 2008 基础编程笔记
WolfBolin技术博客
07-01 4822
最近在帮同学写数据库的课程设计,顺手整理了一些VB编程与连接数据库的笔记。 新手入门,请多包涵。
关于SqlCommandLike和In参数化无法查询的问题探究
weixin_33696106的博客
06-25 271
通常我们使用SqlParameter以取代一般的字符串拼接,其目的是:1、防止SQL拼接语法错误(PS:同时防止近视,因为长长的字符串拼接经常把你弄得眼冒金星的……),2、防止SQL注入式攻击(详见:)。 但是并不是所有的SQL都可以直接使用SqlParameter直接替换这样子做那么简单,下面我们来看两个极端例子,顺便分析SqlParameter究竟是什么东西? 1、LIKE+SqlPara...
sql语句无效,求助大佬帮我看看哪里出问题了,在线等急!!!vs2010写的vb
Ztsfhj的博客
06-30 186
vb6.0 使用带@参数的sql语句
arg2001的博客
06-24 418
vb6.0 使用带@参数的sql语句vb6.0连接sql server数据库时,使用带@参数的数据库。 如果使用sql语句直接写成“insert into table(mm) values(@xx)”, 那么程序会报错,“参数未声明”,所以要么使用存储过程,要么使用“?”。(但dbf表格没有这个问题) 当使用cmd.Parameters.Append paraOfInsert...
VB.net SQL BIT类型参数化查询问题
阿牛的博客
12-09 812
今天做一个数据库历史表和修改表,设置数据状态时,把sql语句参数化,调试一直返回影响0行,百度一圈,群里请教无果 初步骤判断是数据类型不匹配,无奈只有自己慢慢调试,,把所有参数单独拿出来一个个试,调到BIT类型时提示数据类型不匹配 想了半天才反应过来,参数的设置的顺序可能有问题.重新修改传参的顺序,一试果然可以,赶紧写个博客记录下来,方便查询 正确的代码 出错时代码
vb.net 数组参与SQL语句的查询范例
10-27
***在操作数据库时,常常需要将数组或者集合的数据通过SQL语句执行查询操作。在这样的场景,通常需要先将数组的数据转换为符合SQL语法的字符串形式,才能作为查询条件传入SQL语句。该文件描述了在***如何...
VBSQL语句生成器
08-16
7. **代码优化**:为了提高性能,SQL语句生成器可能会采用存储过程或者参数化查询,这可以减少网络传输和防止SQL注入攻击。此外,VB的多线程技术可以用于优化生成和执行SQL语句的过程。 8. **版本兼容性**:VB之...
VB在DED使用参数操作数据库实例
05-16
这个实例展示了如何在VB使用DAO和参数化查询来安全地操作Access数据库,避免了SQL注入等潜在的安全问题。通过这种方式,你可以根据实际需求动态地构建和执行SQL语句,实现灵活的数据操作功能。 在实际项目,...
VB6.0数据库程序开发使用ADO和SQL的方法介绍.pdf
09-19
VB6.0开发数据库程序时,ADO(ActiveX数据对象)和SQL(结构化查询语言)是两种常用的工具。ADO是一种面向对象的接口,用于通过OLE DB访问数据库;而SQL是用于管理关系数据库系统的标准语言,通过标准SQL语句可以...
SQL数据库插为图片.rar_VB 数据库_sql数据库_vb sql 图片_vb 图片 数据库_数据库 图片 VB
09-23
本教程将详细讲解如何使用VB来实现这一功能,即在SQL数据库插入图片。 首先,我们需要理解SQL数据库的基本概念。SQL(Structured Query Language)是一种用于管理和处理关系型数据库的标准编程语言,允许我们执行...
VB2008参数文件保存其提取实例
12-10
vs2008下文件参数存取及解析实例,经本人验证修改,引用于软件,经测试证明非常实用,应用于本软件默认参数存储,调用,因为参数较多,所以重新输入非常耗费时间,因此用文件保存并调用修改即可。
sql:存储过程,事务,out参数
我的地盘
10-10 1158
CREATE proc [dbo].[proc_DeleteTemplet] (@templeId varchar(15),@errorMessage varchar(50) output)asbegin  declare @error int  set @error =0  begin tran  delete from tc_templet_Head where fBillNo=@temple
VB.NET学习笔记:ADO.NET操作ACCESS数据库——执行含参数SQL语句存储过程,防止SQL注入攻击
zyjq52uys的博客
03-18 822
通过提供类型检查和验证,命令对象可使用参数来将值传递给 SQL 语句或存储过程。 与命令文本不同,参数输入被视为文本值,而不是可执行代码。 这样可帮助抵御“SQL 注入”攻击,防止攻击者将命令插入 SQL 语句而危及数据库的安全。 一、执行含参数SQL语句 示例代码如下: '连接数据库 Dim conn As New OleDb.OleDbConnection("Provider=...
SQL参数化查询讲座 (八)
王小鉴的专栏
08-06 1477
如果程序使用数据库存储过程,则更应该使用参数化查询。很多数据库在使用存储过程时,其OLEDB驱动程序能自动解析所需的参数,根本不需要明确调用CreateParameter方法,直接给对应的参数赋值即可执行。下面的例子,程序访问到本机MS SQL Server服务器的pubs数据库,执行数据库的ByRoyalty存储过程。该存储过程返回给定忠诚度的顾客信息,忠诚度为该存储过程唯一的输入参数(这
VB6数据库参数化查询的技巧
vbman2003之学习备忘录
12-06 3516
    通常对数据库的查询和操作,大家习惯于拼接sql语句,在论坛上也经常有拼接sql语句方面的问题,让许多初学者深感头痛,即使是老手,遇到复杂的拼接也难免会出错。其实访问数据库我们有更好的选择,这就是参数化查询,这种方法高效安全,又可以省掉程序拼接sql的麻烦。不过呢,这方面的介绍不是很多,有介绍通常的方法似乎比较烦琐,不能写成通用的方法函数,所以好象使用的人比较少。最近小小的研究了一下,有所发现,备忘在此,共大家参考:    以下示例,基于xp sp3 + ADO2.8 + sql server 20
OleDbCommand 或 OdbcCommand 关于Parameters 集合的变态要求---顺序!
weixin_34235457的博客
01-10 375
一共有2条变态要求,公示如下: 1、OLE DB .NET Framework 数据提供程序和 ODBC .NET Framework 数据提供程序不支持用于将参数传递到 SQL 语句或存储过程的命名参数。在此情况下,必须使用问号 (?) 占位符,如以下示例所示。SELECT * FROM Customers WHERE CustomerID = ? 2、将参数用于 OleDbCommand ...
SQL参数化查询
热门推荐
zyw_anquan的专栏
03-26 4万+
SQL参数化查询 一、以往的防御方式 以前对付这种漏洞的方式主要有三种: 字符串检测:限定内容只能由英文、数字等常规字符,如果检查到用户输入有特殊字符,直接拒绝。但缺点是,系统 不可避免地会有些内容包含特殊字符,这时候总不能拒绝入库。字符串替换:把危险字符替换成其他字符,缺点是危险字符可能有很多,一一枚举替换相当麻烦,也可能有漏网之 鱼。存储过程:把参数传到存储过程进行处理,但
VBSQL基础操作指南
VB,这些函数常被结合使用以构建SQL查询语句,例如构建动态SQL使用字符串拼接SQL命令),或者在用户界面处理用户的输入,确保数据格式正确,然后将数据传递给数据库进行处理。此外,VB还提供了ADODB库,允许...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值