ms-access
Parameteriserade frågor

.NET Framework ASP.NET C# Language excel-vba Java Language MySQL SQL Microsoft SQL Server Visual Basic .NET Language VBA
Sök…


Introduktion

Parameteriserade frågor kan användas för att försvara mot SQL-injektionsattacker.

Sårbar strategi: Sluten SQL-sträng med formreferenser

Detta är den typiska metoden för nybörjare som bygger SQL-åtgärdsfrågor. De är sårbara för Bobby Tables- typ SQL-injektionsattacker. 

Dim strSQL As String

strSQL = "INSERT INTO Employees chrFirstName, chrLastName, chrPhone " _
         & "VALUES ('" & Me!txtFirstName & "','" & Me!txtLastName & "','" & Me!txtPhone & "');"

CurrentDb.Execute strSQL

QueryDef Parameterized Query Approach

Detta tillvägagångssätt kommer att förhindra en användare från att bädda in ett andra SQL-uttalande i sin input för körning. 

Dim strSQL As String
Dim db As DAO.Database
Dim qdf As DAO.QueryDef

strSQL = "PARAMETERS [FirstName] Text(255), [LastName] Text(255), [Phone] Text(255); " _
         & "INSERT INTO Employees (chrFirstName, chrLastName, chrPhone) " _
         & "VALUES ([FirstName], [LastName], [Phone]);"

Set db = CurrentDb

Set qdf = db.CreateQueryDef("", strSQL)
qdf.Parameters("FirstName") = Me!txtFirstName
qdf.Parameters("LastName") = Me!txtLastName
qdf.Parameters("Phone") = Me!txtPhone
qdf.Execute

Me!txtFirstName = vbNullString
Me!txtLastName = vbNullString
Me!txtPhone = vbNullString

qdf.Close
db.Close
Set qdf = Nothing
Set db = Nothing

Giltiga parametertyper:

  • DATETIME : för datum (parameter förväntar sig VBA- Date )
  • SHORT , LONG : För heltal ( SHORT förväntar heltal, LONG förväntar sig lång)
  • SINGLE , DOUBLE : För flytande punkt (förvänta sig respektive Dubbel respektive)
  • VARCHAR eller TEXT : För strängar
  • MEMO eller LONGTEXT : För strängar längre än 255 tecken


Modified text is an extract of the original Stack Overflow Documentation
Licensierat under CC BY-SA 3.0
Inte anslutet till Stack Overflow