PowerBuilder9.0 使用動態sql語句(上)
前情提要
我們在學習vb.net的時候學習了引數化查詢,也都知道這是防止SQL注入比較有效的手段。當然,引數查詢還提高了程式碼的靈活性和複用性。其實現,是在SQL語句的動作一樣時將查詢的值獨立出來作為引數,而SQL語句的基本內容作為框架,然後組合成完整的SQL語句。即,將SQL語句分成兩部分解耦了。那麼之所以,提以上內容是因為動態SQL和它一樣,但是尚不清楚其是否有防止注入的作用,因為我不清楚PB9.0會如何解釋引數。
動態SQL語句和引數化查詢的思路是一致的,解耦SQL語句。另外,PowerBuilder不支援有些SQL語句的嵌入執行,例如Create
Table,Drop Table等。這些SQL語句
內容
動態SQL語句根據引數和結果集分為了四類:①既無輸入引數,也無結果集;②有輸入引數,但沒有結果集;③編譯時已經知道引數和結果集的列;④開發程式時尚不知道引數和結果集。類似於SQLhelper中的方法哈。
使用方法
①無引數無結果集
語法格式:EXECUTE IMMEDIATE SQLStatement{USING TransactionObject};
其中SQLStatement是個字串,其內容是有效的SQL語句;TransactionObject是事務物件名,大括號表示該子句可以省略,
例項:
string SQL
SQL = "drop table T_user "
EXECUTEIMMEDIATE :SQL USING SQLCA;②有引數無結果集(已知引數個數)
語法格式:PREPARE DynamicStagingArea FROM SQLStatement{USING TransactionObject} ;
EXECUTE DynamicStagingAreaUSING {ParameterList} ;
其中DynamicStagingArea是個DynamicStagingArea
例項:
Prepare SQLSA from :"update T_user set loginPwd = ? where userName=?" //需要引數的SQL語句
using sqlca;
execute SQLSA using:sle_newpwd.text,:user.username; //代入引數執行 那麼關於表名和欄位名在執行時也不能確定的情況可以通過如下手段解決。以②的例子為例,假設它的表名T_user和欄位名userName不能確定,那麼我們就先宣告一個string的變數strsql用來儲存需要引數的sql語句,然後再宣告兩個string變數分別儲存表名和欄位名。之後拼接成sql語句,然後再使用帶引數的sql語句執行。程式碼如下:
strsql="update " + table + " set loginPwd = ? where" + fieldname + "=?" //其中table和fieldname是表名和欄位名
Prepare SQLSA from :strsql
using sqlca;
execute SQLSA using:sle_newpwd.text,:user.username; //代入引數執行