ACCESS的参数化查询

1、最近因项目需要用 ACCESS做数据库开发 WEB项目看论坛上还许多人问及ACCESS被注入的安全问题许多人解决的方法仍然是用Replace替换特殊字符，然而这样做也并没有起到太大做用.今天我就把我用ACCESS参数化查询的一些方法和经验和大家分享，希望对大家有所启发，有写的不对的地方希望高手们多多指教ASP.NET 用 OleDbCommand 的 new OleDbParameter 创建参数货查询ASP用Command的CreateParameter方法创建参数化查询（SQL储存过程查询也是用这个方法建立的）ASP.NET C# 语法：OleDbParameter parm = new

2、OleDbParameter（Name, Type, Direction, Size, V alue）;（实际上它有七重载大家具体大家可以在VS.net里面就可以看到）参数Name可选，字符串，代表 Parameter对象名称。Type可选，长整型值，指定 Parameter对象数据类型。Direction 可选，长整型值，指定 Parameter对象类型。Size可选，长整型值，指定参数值最大长度（以字符或字节数为单位）。Value 可选，变体型，指定Parameter对象的值。以下是实例，查询 news表中所有tsing发表的新闻sql="select * from newss

3、where username=? order by id"注意查询的条件均用吟表示OleDbConnection conn = new OleDbConnection(connString);OleDbCommand cmd = new OleDbCommand(sql,conn);OleDbParameter parm = new OleDbParameter("temp",OleDbType.VarChar, 50);/temp为Parameter对象可随便定义，OleDbType.VarChar指定为字符串，长度50 parm.Direction = Par

4、ameterDirection.Input;指定其类型输入参数cmd.Parameters.Add(parm);cmd.Parameters"temp".Value = "tsing"查询 tsing,也可以写成 cmd.Parameters0conn.Open();cmd.ExecuteReader();ASP VBSCRIPT 语法Set parameter = command.CreateParameter (Name, Type, Direction, Size, Value)参数同上以下是实例，查询 news表中所有tsing发表的新闻et c

5、onn = Server.CreateObject("Adodb.Connection") conn.ConnectionString = connString conn.open()set mycmd = Server.CreateObject("ADODB.Command") mycmd.ActiveConnection=conn mycmd.CommandText=sqlmycmd.Prepared = trueset mypar = mycmd.CreateParameter("temp",129,1,50,"tsi

6、ng") mycmd.Parameters.Append myparset myrs = mycmd.Execute与上面基本相同不同的地方法是asp在对参数的表达上面不同129为adChar, 1就是指示输入参数(是其实是默认值)大家请参阅 MICROSOFT 的 ADOVB.Inc :ParameterDirectionEnumValues ConstadParamUnknown =0ConstadParamInput=1ConstadParamOutput=2ConstadParamInputOutput =3ConstadParamReturnValue =4，DataTyp

7、eEnumValuesConstadEmpty =0ConstadTinyInt =16ConstadSmallInt =2ConstadInteger =3ConstadBigInt =20ConstadUnsignedTinyInt =17ConstadUnsignedSmallInt =18ConstadUnsignedInt=19ConstadUnsignedBigInt =21ConstadSingle =4ConstadDouble =5ConstadCurrency =6ConstadDecimal =14ConstadNumeric =131ConstadBoolean =11ConstadError =10ConstadUserDefined=132ConstadVariant =12ConstadIDispatch =9ConstadIUnknown :=13ConstadGUID =72ConstadDate =7ConstadDBDate =133ConstadDBTime =134ConstadDBTimeStamp=135ConstadBSTR =8ConstadChar =129ConstadVarChar =200ConstadLongVarChar=201ConstadWChar =