ACCESS的参数化查询,附VBSCRIPT(ASP)和C#(ASP.NET)函数第1/2页

最近因项目需要用ACCESS做数据库开发WEB项目
看论坛上还许多人问及ACCESS被注入的安全问题
许多人解决的方法仍然是用Replace替换特殊字符然而这样做也并没有起到太大做用
今天我就把我用ACCESS参数化查询的一些方法和经验和大家分享
希望对大家有所启发有写的不对的地方希望高手们多多指教

ASPNET 用OleDbCommand的new OleDbParameter创建参数货查询
ASP用Command的CreateParameter 方法创建参数化查询
(SQL储存过程查询也是用这个方法建立的)

ASPNET　C#语法

　　复制代码 代码如下:

　　OleDbParameter parm = new OleDbParameter(Name Type Direction Size Value);
(实际上它有七重载大家具体大家可以在里面就可以看到)
参数
Name        可选字符串代表 Parameter 对象名称
Type        可选长整型值指定 Parameter 对象数据类型
Direction   可选长整型值指定 Parameter 对象类型
Size        可选长整型值指定参数值最大长度（以字符或字节数为单位）
Value       可选变体型指定 Parameter 对象的值
以下是实例查询news表中所有tsing发表的新闻
  
  sql=select * from newss where username=? order by id
　//注意查询的条件均用?号表示
  OleDbConnection conn = new OleDbConnection(connString);
  OleDbCommand cmd = new OleDbCommand(sqlconn); 
  OleDbParameter parm = new OleDbParameter(tempOleDbTypeVarChar );
  //temp为Parameter对象可随便定义OleDbTypeVarChar指定为字符串长度
  parmDirection = ParameterDirectionInput;
  //指定其类型输入参数
  cmdParametersAdd(parm);
　cmdParameters[temp]Value = tsing;
  //查询tsing也可以写成cmdParameters[]
　connOpen();
　cmdExecuteReader();

ASP VBSCRIPT语法

　　复制代码 代码如下:

　　Set parameter = commandCreateParameter (Name Type Direction Size Value)
参数同上
以下是实例查询news表中所有tsing发表的新闻
  
  et conn = ServerCreateObject(AdodbConnection)
  connConnectionString = connString
  connopen()
  set mycmd = ServerCreateObject(ADODBCommand)
  mycmdActiveConnection=conn
  mycmdCommandText=sql
  mycmdPrepared = true
  set mypar = mycmdCreateParameter(temptsing)
  mycmdParametersAppend mypar
  set myrs = mycmdExecute

与上面基本相同不同的地方法是asp在对参数的表达上面不同
  为adChar就是指示输入参数(是其实是默认值)
大家请参阅MICROSOFT的ADOVBInc

　　复制代码 代码如下:

　　   ParameterDirectionEnum   Values      
  Const   adParamUnknown   =      
  Const   adParamInput   =      
  Const   adParamOutput   =      
  Const   adParamInputOutput   =      
  Const   adParamReturnValue   =     
   DataTypeEnum   Values      
  Const   adEmpty   =      
  Const   adTinyInt   =      
  Const   adSmallInt   =      
  Const   adInteger   =      
  Const   adBigInt   =      
  Const   adUnsignedTinyInt   =      
  Const   adUnsignedSmallInt   =      
  Const   adUnsignedInt   =      
  Const   adUnsignedBigInt   =      
  Const   adSingle   =      
  Const   adDouble   =      
  Const   adCurrency   =      
  Const   adDecimal   =      
  Const   adNumeric   =      
  Const   adBoolean   =      
  Const   adError   =      
  Const   adUserDefined   =      
  Const   adVariant   =      
  Const   adIDispatch   =      
  Const   adIUnknown   =      
  Const   adGUID   =      
  Const   adDate   =      
  Const   adDBDate   =      
  Const   adDBTime   =      
  Const   adDBTimeStamp   =      
  Const   adBSTR   =      
  Const   adChar   =      
  Const   adVarChar   =      
  Const   adLongVarChar   =      
  Const   adWChar   =      
  Const   adVarWChar   =      
  Const   adLongVarWChar   =      
  Const   adBinary   =      
  Const   adVarBinary   =      
  Const   adLongVarBinary   =