Wie verwende ich Parameter in VBA sicher für Microsoft Access-Abfragen?

Verwendung von VBA-Parametern in verschiedenen Kontexten in Microsoft Access

Viele Microsoft Access-Entwickler verlassen sich auf anfälligen Code, weil sie nicht wissen, wie Parameter richtig verwendet werden. Dieser kurze Leitfaden soll etwas Licht in dieses Thema bringen.

Formulare und Berichte

Access bietet eine einzigartige Möglichkeit, Werte aus Formularen und Berichten direkt im SQL-Code zu referenzieren, in den meisten Fällen ohne Parameter:

<code>DoCmd.RunSQL "INSERT INTO Table1(Field1) SELECT " & _
    "Forms!MyForm!MyTextbox" '插入单个值</code>

TempVars

TempVars bietet eine Möglichkeit, Werte aus mehreren Abfragen zu speichern und wiederzuverwenden:

<code>TempVars!MyTempVar = Me.MyTextbox.Value
DoCmd.RunSQL "INSERT INTO Table1(Field1) SELECT " & _
    "Field1 FROM Table2 WHERE ID = TempVars!MyTempVar"</code>

Benutzerdefinierte Funktion (UDF)

UDF kann zum Speichern und Abrufen von Werten verwendet werden:

<code>Option Compare Database
Option Explicit

Private ThisDate As Date

Public Function GetThisDate() As Date
    If ThisDate = #12:00:00 AM# Then
        ' 设置默认值。
        ThisDate = Date
    End If
    GetThisDate = ThisDate
End Function

Public Function SetThisDate(ByVal NewDate As Date) As Date
    ThisDate = NewDate
    SetThisDate = ThisDate
End Function

'设置值：
SetThisDate SomeDate</code>

Verwenden Sie DoCmd.SetParameter

DoCmd.SetParameter ermöglicht das Festlegen von Parametern für DoCmd.OpenForm, DoCmd.OpenReport und einige andere DoCmd-Anweisungen:

<code>DoCmd.SetParameter "MyParameter", Me.MyTextbox
DoCmd.OpenForm "MyForm",,, "ID = MyParameter"</code>

DAO

In DAO können wir das DAO.QueryDef-Objekt verwenden, um Abfragen zu erstellen und Parameter festzulegen, bevor wir das Recordset öffnen oder die Abfrage ausführen:

<code>'执行查询，未命名参数
With CurrentDb.CreateQueryDef("", "INSERT INTO Table1(Field1)" & _
    " SELECT Field1 FROM Table2 WHERE Field1 = ?p1 And " & _
    "Field2 = ?p2")
    .Parameters(0) = Me.Field1
    .Parameters(1) = Me.Field2
    .Execute
End With

'打开记录集，命名参数
Dim rs As DAO.Recordset
With CurrentDb.CreateQueryDef("", "SELECT Field1 FROM Table2" & _
    " WHERE Field1 = FirstParameter And Field2 = " & _
    "SecondParameter")
    .Parameters!FirstParameter = Me.Field1 '感叹号表示法
    .Parameters("SecondParameter").Value = Me.Field2 '更明确的表示法
    Set rs = .OpenRecordset
End With</code>

ADO

In ADO können wir das ADODB.Command-Objekt verwenden, um Parameter zu erstellen und sie an die Command.Parameters-Sammlung anzuhängen:

<code>'执行查询，未命名参数
Dim cmd As ADODB.Command
Set cmd = New ADODB.Command
With cmd
    Set .ActiveConnection = CurrentProject.Connection '使用与当前数据库的连接
    .CommandText = "INSERT INTO Table1(Field1) SELECT " & _
    "Field1 FROM Table2 WHERE Field1 = ? And Field2 = ?"
    .Parameters.Append .CreateParameter(, adVarWChar, adParamInput, Len(Me.Field1), Me.Field1) 'adVarWChar 用于可能包含 Unicode 的文本框
    .Parameters.Append .CreateParameter(, adInteger, adParamInput, 8, Me.Field2) 'adInteger 用于整数（长整数或整数）
    .Execute
End With

'打开记录集，隐式参数
Dim rs As ADODB.Recordset
Dim cmd As ADODB.Command
Set cmd = New ADODB.Command
With cmd
    Set .ActiveConnection = CurrentProject.Connection '使用与当前数据库的连接
    .CommandText = "SELECT Field1 FROM Table2 WHERE " & _
    "Field1 = @FirstParameter And Field2 = @SecondParameter"
    Set rs = .Execute(,Array(Me.Field1, Me.Field2))
End With</code>

Durch die Befolgung dieser Methoden können Entwickler SQL-Injection-Schwachstellen beseitigen und die Sicherheit von Access-Anwendungen verbessern.

Das obige ist der detaillierte Inhalt vonWie verwende ich Parameter in VBA sicher für Microsoft Access-Abfragen?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!