VBA、ADO.Connection 和查询参数

Posted 2023-04-18

【中文标题】VBA、ADO.Connection 和查询参数

【英文标题】：VBA, ADO.Connection and query parameters

【发布时间】：2012-05-08 07:04:44

【问题描述】：

我有 excel VBA 脚本：

Set cоnn = CreateObject("ADODB.Connection")
conn.Open "report"
Set rs = conn.Execute("select * from table" ) 

脚本工作正常，但我想为其添加参数。例如“ where (parentid = myparam)”，其中 myparam 设置在查询字符串之外。我该怎么做？

当然我可以修改查询字符串，但我认为这不是很明智。

【参考方案1】：

您需要使用可以添加参数的 ADODB.Command 对象。基本上是这样的

Sub adotest()

    Dim Cn As ADODB.Connection
    Dim Cm As ADODB.Command
    Dim Pm As ADODB.Parameter
    Dim Rs as ADODB.Recordset

    Set Cn = New ADODB.Connection
    Cn.Open "mystring"
    Set Cm = New ADODB.Command
    With Cm
        .ActiveConnection = Cn
        .CommandText = "SELECT * FROM table WHERE parentid=?;"
        .CommandType = adCmdText

        Set Pm = .CreateParameter("parentid", adNumeric, adParamInput)
        Pm.Value = 1

        .Parameters.Append Pm

        Set Rs = .Execute
    End With

End Sub

CommandText 中的问号是参数的占位符。我相信，但我并不肯定，您附加参数的顺序必须与问号的顺序相匹配（当您有多个问号时）。不要因为参数被命名为“parentid”而被愚弄，因为我认为 ADO 不关心名称，而不是用于标识。

【讨论】：

我相信你在参数顺序上是正确的。当我来自 C# .Net 然后编写 VBScript 时，这让我很困惑。

或者你可以... .CommandText = "SELECT * FROM table WHERE parentid=" & myparam & ";"

@LuigiMackenzieC.Brito 违背了使用参数化查询的目的。使用包含用户输入数据的变量连接来构建 SQL 查询字符串是一种不好的做法。 （因为如果 myparam = "parentid;SELECT * from userpasswords"，或者如果连接用户具有写入权限：myparam="parentid;insert into userpasswords..." 或者只是推车，myparam="parentid;delete from表")

@cowbert SQL 注入是的。在我的实践中，我使用 php 将它们过滤掉。

@LuigiMackenzieC.Brito -- 但是您没有在评论中提及这一点，因此存在有人可以在不知道 SQL 注入的情况下使用您的方法的危险。即使您以某种方式过滤掉了危险代码（我非常怀疑），对查询进行字符串连接也不是一个好习惯。

【参考方案2】：

从函数返回命令的替代示例：

Function BuildCommand(conn As ADODB.Connection) As ADODB.Command
    Dim cmd As ADODB.Command
    Set cmd = New ADODB.Command
    cmd.ActiveConnection = conn
    cmd.CommandType = adCmdText
    cmd.Parameters.Append cmd.CreateParameter("@name", adVarChar, adParamInput, 255, "Dave")
    cmd.CommandText = "SELECT * FROM users WHERE name = @name;"
    Set BuildCommand = cmd
End Function

需要注意的几点：

当使用adVarChar 数据类型时，cmd.CreateParameter 的大小参数（例如 255）是必需的。不提供它会导致运行时错误 3708：应用程序定义或对象定义错误，如 documentation 中所示：

如果在 Type 参数中指定可变长度数据类型，则必须在将其附加到 Parameters 集合之前传递 Size 参数或设置 Parameter 对象的 Size 属性；否则，会发生错误。

如果在设置cmd.CommandText 时设置了cmd.ActiveConnection 属性，并且cmd.CommandText 包含命名参数，则将相应地填充cmd.Parameters。之后调用cmd.Parameters.Append 可能会导致重复。例如：

cmd.ActiveConnection = conn
cmd.CommandType = adCmdText
Debug.Print cmd.Parameters.Count ' 0

cmd.CommandText = "SELECT * FROM users WHERE name = @name;"
Debug.Print cmd.Parameters.Count ' 1

cmd.Parameters.Append cmd.CreateParameter("@name", adVarChar, adParamInput, 255, "Dave")
Debug.Print cmd.Parameters.Count ' 2

我相信这就是documentation 中的意思，这有点不准确：

如果 Command 对象的 Prepared 属性设置为 True，并且在您设置 CommandText 属性时，Command 对象绑定到打开的连接，ADO 会准备查询（即，查询的编译形式存储在提供者）当您调用 Execute 或 Open 方法时。

作为一种解决方法，在添加参数后设置cmd.CommandText 或cmd.ActiveConnection。

【讨论】：

每当我尝试这样做时，总是会收到运行时错误Must Declare the scalar variable "@name"

当需要设置多个参数时，这会使代码看起来更清晰。谢谢。

为此，我认为您还需要 cmd.NamedParameters = True 并且连接必须使用 ADO provider which supports named parameters（例如 SqlClient，而不是 ODBC/OLEDB）。

@Kevinoid 看起来只使用“？”作为 odbc/oledb 的参数占位符。对吗？

@Sacru2red 我相信这是正确的。据我所知，如果您使用 ADO 的 ODBC 或 OleDB 提供程序，? 是唯一受支持的参数占位符。