什么是 C++ 中的“查询参数”？

Posted 2023-03-22

【中文标题】什么是 C++ 中的“查询参数”？

【英文标题】：What is a "query parameter" in C++?

【发布时间】：2008-11-19 04:41:12

【问题描述】：

我们使用 stringstream 在 C++ 中准备选择查询。但我们强烈建议使用 QUERY PARAMETERS 提交 db2 sql 查询，以避免使用 stringstream。任何人都可以分享 C++ 中查询参数的确切含义吗？另外，分享一些实用的示例代码sn-ps。

提前感谢帮助。

编辑：它是 stringstream 而不是 strstream。

谢谢， 马修·李菊

【问题讨论】：

这个问题与 SQL 有关，而不是 C++；但我不是 SQL 专家，所以我会让其他人真正回答这个问题。 :-)

【参考方案1】：

我怀疑这通常指的是参数化查询，而不是在字符串中构造查询，它们提供 sql 变量（或参数），然后分别传递这些变量。这些对于处理 SQL 注入攻击要好得多。举例说明：

"SELECT * FROM Customers WHERE CustomerId = " + _customerId; 

很糟糕，而这个：

"SELECT * FROM Customers where CustomerId = @CustomerId" 

很好。问题是您必须将参数添加到查询对象（我不知道这是如何在 C++ 中完成的。

其他问题的参考：

https://***.com/questions/1973/what-is-the-best-way-to-avoid-sql-injection-attacks Stored Procedures vs Parameterized Queries

狂野的网络：

http://www.justsoftwaresolutions.co.uk/database/database-tip-use-parameterized-queries.html

【参考方案2】：

参数化查询形式的sql查询比字符串形式的查询安全，避免sql注入攻击。 参数化查询示例

StringBuilder sqlstr = new StringBuilder();  
cmd.Parameters.AddWithValue("@companyid", CompanyID);  
sqlstr.Append("SELECT evtconfigurationId, companyid, 
  configname, configimage FROM SCEVT_CONFIGURATIONS ");
sqlstr.Append("WHERE companyid=@companyid ");

查询字符串格式示例

StringBuilder sqlstr = new StringBuilder();   
sqlstr.Append("SELECT evtconfigurationId, companyid, configname, 
   configimage FROM SCEVT_CONFIGURATIONS ");
sqlstr.Append("WHERE companyid" +  CompanyID);