我有一个运行SQL Server 2012的旧版经典ASP应用程序(也已在2016年进行了测试),我试图切换到使用参数化查询。该站点的所有查询都通过一个函数运行,该函数期望sql语句为带问号表示的参数的字符串以及这些参数的数组。该函数当前过滤参数以使它们成为sql安全的,并在执行该语句之前将其放入sql字符串中。
鉴于此,我认为将其切换到参数化查询将非常简单。初始测试看起来不错,并且一切似乎都正常运行,直到我在子查询中击中带有参数的sql语句。
这里是有效的测试样本:
Const connectionString = "Provider=SQLNCLI11; Server=********; Database=********; UID=*******; PWD=*******"
Dim sql, productId, parameters
sql = "SELECT SKU FROM Products WHERE ProductId = ?"
productId = 3
parameters = Array(productId)
Dim conn
Set conn = Server.CreateObject("ADODB.Connection")
conn.Open connectionString
Dim cmd
Set cmd = Server.CreateObject("ADODB.Command")
cmd.ActiveConnection = conn
cmd.CommandText = sql
cmd.Parameters.Refresh
Dim rs
Set rs = cmd.Execute(, parameters)
Response.Write("SKU: " & rs("SKU"))
[没问题,这将按预期返回SKU。但是,如果我使用子查询:
Const connectionString = "Provider=SQLNCLI11; Server=********; Database=********; UID=*******; PWD=*******"
Dim sql, productId, parameters
'contrived subquery for demonstration purposes
sql = "SELECT SKU FROM ( SELECT SKU FROM Products WHERE ProductId = ? ) AS P"
productId = 3
parameters = Array(productId)
Dim conn
Set conn = Server.CreateObject("ADODB.Connection")
conn.Open connectionString
Dim cmd
Set cmd = Server.CreateObject("ADODB.Command")
cmd.ActiveConnection = conn
cmd.CommandText = sql
cmd.Parameters.Refresh
Dim rs
Set rs = cmd.Execute(, parameters)
Response.Write("SKU: " & rs("SKU"))
它在cmd.Parameters.Refresh行上引发错误:
Microsoft VBScript运行时错误'0x80004005'Microsoft SQL Server本机客户端11.0语法错误,权限冲突或其他非特定错误
如果我在第一个示例中检查cmd.Parameters.Count,则可以正确得到1。在错误的示例中,它会引发相同的错误。
关于将参数放入子查询为什么会导致参数收集出现问题的任何解释吗?我确实尝试将参数手动添加到Parameters集合中,并且工作正常,但这意味着修改数百个现有的sql调用,因此就目前而言,cmd.Parameters.Refresh往返是值得的。
您可以给cmd.execute您想要的内容,但是我已经很长时间没有使用它了。
cmd.execute(“ SELECT SKU FROM(SELECT SKU FROM Products WHERE ProductId =?)AS P”,Array(productId))