Maison >base de données >tutoriel mysql >Comment utiliser en toute sécurité les paramètres dans VBA pour les requêtes Microsoft Access ?
Comment utiliser en toute sécurité les paramètres dans VBA pour les requêtes Microsoft Access ?
- Susan Sarandonoriginal
- 2025-01-23 08:21:09561parcourir
Utilisation des paramètres VBA dans différents contextes dans Microsoft Access
De nombreux développeurs Microsoft Access s'appuient sur du code vulnérable en raison d'un manque de compréhension de la façon d'utiliser correctement les paramètres. Ce petit guide cherchera à faire la lumière sur ce sujet.
Formulaires et rapports
Access offre un moyen unique de référencer les valeurs des formulaires et des rapports directement dans le code SQL, dans la plupart des cas sans paramètres :
<code>DoCmd.RunSQL "INSERT INTO Table1(Field1) SELECT " & _
"Forms!MyForm!MyTextbox" '插入单个值</code>
TempVars
TempVars fournit un moyen de stocker et de réutiliser les valeurs de plusieurs requêtes :
<code>TempVars!MyTempVar = Me.MyTextbox.Value
DoCmd.RunSQL "INSERT INTO Table1(Field1) SELECT " & _
"Field1 FROM Table2 WHERE ID = TempVars!MyTempVar"</code>
Fonction personnalisée (UDF)
UDF peut être utilisé pour stocker et récupérer des valeurs :
<code>Option Compare Database
Option Explicit
Private ThisDate As Date
Public Function GetThisDate() As Date
If ThisDate = #12:00:00 AM# Then
' 设置默认值。
ThisDate = Date
End If
GetThisDate = ThisDate
End Function
Public Function SetThisDate(ByVal NewDate As Date) As Date
ThisDate = NewDate
SetThisDate = ThisDate
End Function
'设置值:
SetThisDate SomeDate</code>
Utilisez DoCmd.SetParameter
DoCmd.SetParameter permet de définir des paramètres pour DoCmd.OpenForm, DoCmd.OpenReport et quelques autres instructions DoCmd :
<code>DoCmd.SetParameter "MyParameter", Me.MyTextbox DoCmd.OpenForm "MyForm",,, "ID = MyParameter"</code>
DAO
Dans DAO, nous pouvons utiliser l'objet DAO.QueryDef pour créer des requêtes et définir des paramètres avant d'ouvrir le jeu d'enregistrements ou d'exécuter la requête :
<code>'执行查询,未命名参数
With CurrentDb.CreateQueryDef("", "INSERT INTO Table1(Field1)" & _
" SELECT Field1 FROM Table2 WHERE Field1 = ?p1 And " & _
"Field2 = ?p2")
.Parameters(0) = Me.Field1
.Parameters(1) = Me.Field2
.Execute
End With
'打开记录集,命名参数
Dim rs As DAO.Recordset
With CurrentDb.CreateQueryDef("", "SELECT Field1 FROM Table2" & _
" WHERE Field1 = FirstParameter And Field2 = " & _
"SecondParameter")
.Parameters!FirstParameter = Me.Field1 '感叹号表示法
.Parameters("SecondParameter").Value = Me.Field2 '更明确的表示法
Set rs = .OpenRecordset
End With</code>
ADO
Dans ADO, nous pouvons utiliser l'objet ADODB.Command pour créer des paramètres et les attacher à la collection Command.Parameters :
<code>'执行查询,未命名参数
Dim cmd As ADODB.Command
Set cmd = New ADODB.Command
With cmd
Set .ActiveConnection = CurrentProject.Connection '使用与当前数据库的连接
.CommandText = "INSERT INTO Table1(Field1) SELECT " & _
"Field1 FROM Table2 WHERE Field1 = ? And Field2 = ?"
.Parameters.Append .CreateParameter(, adVarWChar, adParamInput, Len(Me.Field1), Me.Field1) 'adVarWChar 用于可能包含 Unicode 的文本框
.Parameters.Append .CreateParameter(, adInteger, adParamInput, 8, Me.Field2) 'adInteger 用于整数(长整数或整数)
.Execute
End With
'打开记录集,隐式参数
Dim rs As ADODB.Recordset
Dim cmd As ADODB.Command
Set cmd = New ADODB.Command
With cmd
Set .ActiveConnection = CurrentProject.Connection '使用与当前数据库的连接
.CommandText = "SELECT Field1 FROM Table2 WHERE " & _
"Field1 = @FirstParameter And Field2 = @SecondParameter"
Set rs = .Execute(,Array(Me.Field1, Me.Field2))
End With</code>
En suivant ces méthodes, les développeurs peuvent éliminer les vulnérabilités d'injection SQL et améliorer la sécurité des applications Access.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!