我正在TADOQuery中执行UPDATE语句,我正在使用参数进行一些操作.最初,这工作正常,但我为表名和字段名添加了另一个参数,现在它正在破坏.
代码如下所示:
Q.sql.Text:= 'update :tablename set :fieldname = :newid where :fieldname = :oldid'; Q.Parameters.ParamValues['tablename']:= TableName; Q.Parameters.ParamValues['fieldname']:= FieldName; Q.Parameters.ParamValues['oldid']:= OldID; Q.Parameters.ParamValues['newid']:= NewID;
我得到的错误:
我假设这是因为我使用这个字段名称两次.我可以通过第二次使用另一个唯一的字段名称来解决这个问题,但是我还有另一个错误:
如何使用参数指定要更新的表和字段?
解决方法
查询参数不是为了参数化表名而设计的.
您可以做的是在sql中使用占位符作为表名,然后使用Format函数替换具有表名的那些,然后像往常一样使用其他值的参数.这仍然是sql注入相对安全的(恶意的人必须知道精确的表名,正在使用的特定sql语句和提供参数的值).
const QryText = 'update %s set :fieldname = :newid where :fieldname = :oldid'; begin Q.sql.Text := Format(QryText,[TableName]); Q.Parameters.ParamValues['fieldname'] := FieldName; Q.Parameters.ParamValues['oldid'] := OldID; Q.Parameters.ParamValues['newid'] := NewID; ... end;
