想象一下,我有名字和年龄数据库,我想插入一个人到数据库,所以我会做:我如何看到SQL在做什么?
SQL="INSERT INTO Person(Name,Age) VALUES ('" & Name & "'," & Age &")"
而在我的界面我插入名称:尼克和年龄:25。
如何我可以在界面中看到哪些SQL是做例子:
INSERT INTO Person(Nick,25)
PS:在传统的ASP编程这一点。我通过一个简单的Response.Write看到它完成了,但我不记得它是如何完成的。
希望它是明确的理解,并感谢所有帮助
这只是简单的这Response.Write(SQL)。
在另一方面,我强烈建议你阅读有关SQL参数。也喜欢在这里ASP Classic Named Parameter in Paramaterized Query: Must declare the scalar variable
更多恭维@ kblok的答案,而不是破坏它:
我强烈建议您下载Microsoft SQL Server Management Studio Express,如果你还没有这样做的话,有测试你的陈述,或者甚至更好,用它来写parameterised stored procedures。
当使用存储过程,你可以简单地通过在Connection对象使用适当的设置,调用它...
Set conn = Server.CreateObject("ADODB.Connection")
conn.ConnectionString = myConn
Set comm = Server.CreateObject("ADODB.Command")
comm.ActiveConnection = conn
comm.CommandText = "prc_get_data"
comm.CommandType = 4 'Stored procedure
虽然文档现在是一个小片状,我建议你看一看的Microsoft Documentation为此。
边注 - 对于大多数应用中,它更有效捕捉/保留出生日期而非年龄 - 特别是如果这个数据是关于现实生活的人。 “年龄”在未来的366天内保证会变得不正确,但是当我们不知道时。由于输入错误,DOB只应该是不正确的,并且Age始终可以从中导出。 –
你迫切需要了解,理解并开始使用参数化查询。你在这里有什么是开放的SQL注入。我的朋友鲍比桌子喜欢这种事情。 http://bobby-tables.com/ –