我从bobby-tables.com这样的来源读了很多关于SQL注入和使用参数的知识.但是,我正在使用Access中的复杂应用程序,它在各种各样的地方都有很多带字符串连接的动态SQL.
它有以下我想要改变的东西,并添加参数,以避免错误,并允许我用单引号处理名称,如杰克奥康内尔.
它用:
DoCmd.RunSQL 执行SQL命令DoCmd.OpenForm和DoCmd.OpenReport在WhereCondition参数中使用字符串连接打开DLookUp这样的域聚合使用字符串连接查询大多是这样构造的:
DoCmd.RunSQL "INSERT INTO Table1(Field1) SELECT Field1 FROM Table2 WHERE ID = " & Me.SomeTextbox
对于这些不同类型的查询,我有哪些选项可以使用参数?
这个问题是作为一种资源,因为我经常如何在各种帖子上使用参数评论