Comment puis-je intégrer en toute sécurité des variables ASP dans des instructions SQL pour éviter les erreurs de paramètres ?

Utilisation de variables ASP dans les instructions SQL

Lors de l'intégration de variables ASP dans des instructions SQL, il est essentiel d'assurer un paramétrage approprié pour éviter les erreurs. Pour illustrer, considérons le scénario suivant :

postit = request.querystring("thispost")<br>response.write(postit)<br>%> <br>

Dans cet exemple, la variable ASP postit est utilisée directement dans l'instruction SQL. Cependant, cette approche entraîne l'erreur suivante :

Aucune valeur donnée pour un ou plusieurs paramètres obligatoires. <br>/student/s0190204/wip/deleterecord.asp, ligne 32<br>

Pour résoudre ce problème, un paramètre SQL doit être ajouté :

< pre>delCmd.CommandText="DELETE * FROM post WHERE (pos_ID = ?)"
delCmd.Parameters.Append delCmd.CreateParameter("posid", adInteger, adParamInput) ' paramètre d'entrée
delCmd.Parameters("posid").Value = postit

En définissant delCmd.CommandText avec le espace réservé au point d'interrogation (?), nous indiquons qu'un paramètre est attendu. La méthode Append crée un nouveau paramètre nommé « posid » avec le type de données approprié et indique qu'il doit être utilisé comme entrée. Enfin, la propriété Value du paramètre est définie sur la valeur de la variable ASP postit.

Cette instruction SQL modifiée garantit que la variable ASP est correctement intégrée dans l'instruction SQL avec vérification de type et paramétrage, évitant ainsi tout problème. avec des valeurs manquantes ou invalides.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!