ms-access
Параметрированные запросы
Поиск…
Вступление
Параметризированные запросы могут использоваться для защиты от атак SQL Injection.
Уязвимый подход: объединенная строка SQL со ссылками на форму
Это типичный подход для начинающих разработчиков, создающих SQL-запросы. Они уязвимы для атак типа Bobby Tables типа SQL Injection.
Dim strSQL As String
strSQL = "INSERT INTO Employees chrFirstName, chrLastName, chrPhone " _
& "VALUES ('" & Me!txtFirstName & "','" & Me!txtLastName & "','" & Me!txtPhone & "');"
CurrentDb.Execute strSQL
QueryDef Parameterized Query Approach
Такой подход не позволит пользователю встраивать второй оператор SQL в их ввод для выполнения.
Dim strSQL As String
Dim db As DAO.Database
Dim qdf As DAO.QueryDef
strSQL = "PARAMETERS [FirstName] Text(255), [LastName] Text(255), [Phone] Text(255); " _
& "INSERT INTO Employees (chrFirstName, chrLastName, chrPhone) " _
& "VALUES ([FirstName], [LastName], [Phone]);"
Set db = CurrentDb
Set qdf = db.CreateQueryDef("", strSQL)
qdf.Parameters("FirstName") = Me!txtFirstName
qdf.Parameters("LastName") = Me!txtLastName
qdf.Parameters("Phone") = Me!txtPhone
qdf.Execute
Me!txtFirstName = vbNullString
Me!txtLastName = vbNullString
Me!txtPhone = vbNullString
qdf.Close
db.Close
Set qdf = Nothing
Set db = Nothing
Допустимые типы параметров:
-
DATETIME: для дат (параметр ожидает VBADate) -
SHORT,LONG: для целых чисел (SHORTожидает Integer,LONGожидает Long) -
SINGLE,DOUBLE: для плавающей запятой (ожидайте Single и Double соответственно) -
VARCHARилиTEXT: для строк -
MEMOилиLONGTEXT: для строк длиной более 255 символов
Modified text is an extract of the original Stack Overflow Documentation
Лицензировано согласно CC BY-SA 3.0
Не связан с Stack Overflow