带参数的sql语句!不懂
带参数的sql语句是什么语句sql="SELECTnameFROMpersonWHEREid=?andpassword=?";这算什么语句,这是select语句,sele...
带参数的sql语句是什么语句
sql = "SELECT name FROM person WHERE id=? and password=?" ;
这算什么语句,这是select语句,
select * from person;
insert into note(title,author,content) values('标题','作者','123123');
sql ="insert into note(title,author,content) values(?,?,?)";
大家帮帮说说,什么是带参数的SQL语句,,
再说说优点和缺点 展开
sql = "SELECT name FROM person WHERE id=? and password=?" ;
这算什么语句,这是select语句,
select * from person;
insert into note(title,author,content) values('标题','作者','123123');
sql ="insert into note(title,author,content) values(?,?,?)";
大家帮帮说说,什么是带参数的SQL语句,,
再说说优点和缺点 展开
展开全部
简单的跟你说吧
sql ="insert into note(title,author,content) values(?,?,?)";
像这种有带问号的SQL语句就是带参数的。
优点就是:1、防止SQL注入
2、参数不用引号(出错率低)
缺点:要逐个把参数对应的写麻烦了一点,不过现在程序基本都是带参数的,这样安全性高了好多
sql ="insert into note(title,author,content) values(?,?,?)";
像这种有带问号的SQL语句就是带参数的。
优点就是:1、防止SQL注入
2、参数不用引号(出错率低)
缺点:要逐个把参数对应的写麻烦了一点,不过现在程序基本都是带参数的,这样安全性高了好多
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
sql ="insert into note(title,author,content) values(?,?,?)";
上面的这样的就是带参数的SQL语句。
下面的那样的就是存储过程。
set rs=server.CreateObject("adodb.recordset")
sql="select * from note"
rs.open sql,conn,1,3
rs.addnew
rs("title")=?
rs("author")=?
rs("content")=?
rs.update
rs.close
set rs=nothing
带参数的SQL语句的优点:不用关心语句的单引号的问题了
,令外可以有效的防止SQL注入的非法入侵,这样写程序在编译的时候就把那语句编译了,不会与其它字符匹配了,这就是防止SQL注入的问题了,
唯一的缺点就是占用系统资源的问题了,因为它是早被预编译好的东西,所以系统在调用的时候是直接使用的,不需要再次进行对SQL语句进行编译了,如果项目小的话,少量的这样的代码可以不用计较资源的问题了
上面的这样的就是带参数的SQL语句。
下面的那样的就是存储过程。
set rs=server.CreateObject("adodb.recordset")
sql="select * from note"
rs.open sql,conn,1,3
rs.addnew
rs("title")=?
rs("author")=?
rs("content")=?
rs.update
rs.close
set rs=nothing
带参数的SQL语句的优点:不用关心语句的单引号的问题了
,令外可以有效的防止SQL注入的非法入侵,这样写程序在编译的时候就把那语句编译了,不会与其它字符匹配了,这就是防止SQL注入的问题了,
唯一的缺点就是占用系统资源的问题了,因为它是早被预编译好的东西,所以系统在调用的时候是直接使用的,不需要再次进行对SQL语句进行编译了,如果项目小的话,少量的这样的代码可以不用计较资源的问题了
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(1)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
