Sql server VBA-SQL查询字符串
我声明了存储SQL表中列名称的变量,以及存储相应“要查找的值”的变量Sql server VBA-SQL查询字符串,sql-server,vba,excel,Sql Server,Vba,Excel,我声明了存储SQL表中列名称的变量,以及存储相应“要查找的值”的变量 Dim sColumn1作为字符串 作为字符串的Dim sColumn2 作为字符串的Dim sColumn3 将sValue1设置为字符串 将sValue2设置为字符串 将sValue3设置为字符串 sColumn1=表(1).范围(“A1”).值 sColumn2=表(1).范围(“B1”).值 sColumn3=表(1).范围(“C1”).值 sValue1=图纸(1).范围(“A2”).值 sValue2=图纸(1).
Dim sColumn1作为字符串
作为字符串的Dim sColumn2
作为字符串的Dim sColumn3
将sValue1设置为字符串
将sValue2设置为字符串
将sValue3设置为字符串
sColumn1=表(1).范围(“A1”).值
sColumn2=表(1).范围(“B1”).值
sColumn3=表(1).范围(“C1”).值
sValue1=图纸(1).范围(“A2”).值
sValue2=图纸(1).范围(“B2”).值
sValue3=表(1).范围(“C2”).值
StrQuery=“从dbo.Table1中选择*,其中(“&sColumn1&”)类似(“&sValue1&”)和(“&sColumn2&”)类似(“&sValue2&”)和(“&sColumn3&”)类似(“&sValue3&”)
StrQuery=“从dbo.Table1中选择*,其中Column1 LIKE(“&sValue&”)和Column2 LIKE(“&sValue2&”)以及Column3 LIKE(“&sValue3&”)”
我是否在字符串中使用了错误的格式,因此它会读取存储在变量中的实际值?上面关于使用参数化查询的警告仍然适用,但这是如何实现的:
StrQuery=“从dbo.Table1中选择*WHERE”&_
sColumn1&“LIKE(“%”和sValue&“%”)&_
和“&sColumn2&”LIKE(“%”和“sValue2&“%”)和_
和“&sColumn3&”LIKE(“%”和“%sValue3&%”)
sqlString = "SELECT * FROM dbo.Table1 " & _
"WHERE [" & sColumn1 & "] LIKE @value1 " & _
" AND [" & sColumn2 & "] LIKE @value2 " & _
" AND [" & sColumn3 & "] LIKE @value3 "
parameterDeclarationString = "@value1 AS NVARCHAR(1000)," & _
"@value2 AS NVARCHAR(1000)," & _
"@value3 AS NVARCHAR(1000)"
请注意,参数的最大长度只是合理上限的任意猜测。为什么要将列放在单引号中?您需要阅读、理解并开始使用参数化查询。这对sql注入是完全开放的。我的朋友bobby tables喜欢这种编码方式。为了补充@MarkPM所说的内容,当您将列名放在单引号内时,它们将变成字符串文字。这不是您想要的,您需要查看列中的值。:)@弗洛伦特B。SQL注入不仅仅是为了安全。请询问O'Neil先生和Null夫人。说清楚:VBA代码处理发送到数据库的SQL语句中的一个模糊语法错误。“我们不需要防止SQL注入”是错误的——任何易受攻击的代码都是等待崩溃的代码,无论是在PHP、Java、C#、…还是VBA中。正确的操作非常简单,我无法找到一个理由来延续这种观念,即在任何情况下,尤其是在这个网站上,串联用户输入都是可以接受的。谢谢你的帮助!很抱歉,我没有早点回复。工作中发生了很多变化。该项目已被搁置。现在我回到这里,我肯定会重写这部分代码来实现参数化查询。谢谢!!谢谢你的帮助!很抱歉,我没有早点回复。工作中发生了很多变化。该项目已被搁置。现在我回到这里,我肯定会重写这部分代码来实现参数化查询。不过,这个指令似乎并没有解决这个问题。查询没有生成任何错误,但也没有结果。不过非常感谢!!