estaba navegando a través de las preguntas y se dio cuenta esto:¿Qué hace el símbolo "@" en SQL?
SELECT prodid, issue
FROM Sales
WHERE custid = @custid
AND datesold = SELECT MAX(datesold)
FROM Sales s
WHERE s.prodid = Sales.prodid
AND s.issue = Sales.issue
AND s.custid = @custid
Me preguntaba lo que el "@" hace frente a custID? ¿Es solo una forma de referenciar el custID de la tabla que se selecciona?
El @CustID significa que es un parámetro que va a proporcionar un valor para adelante en el código. Esta es la mejor forma de protegerse contra la inyección de SQL. Cree su consulta utilizando parámetros, en lugar de concatenar cadenas y variables. El motor de la base de datos coloca el valor del parámetro en donde está el marcador de posición, y no hay posibilidad de inyección SQL.
@ se utiliza como un prefijo que denota nombres de los parámetros de procedimientos y funciones almacenados, así como los nombres de variables
Es un parámetro que debe definir. para evitar la inyección de SQL, debe pasar todas sus variables como parámetros.
Usted puede estar acostumbrado a la sintaxis de MySQL: Microsoft SQL @ es el mismo que el de ?
Así habría establecido que el valor de lo que @ custID está dentro de esta consulta de selección o antes de hacer la consulta de MySQL?
¿Algo así?
SET @custID = '1';
Si el SQL es un procedimiento almacenado, debe configurarlo antes de la consulta. Los detalles para esto son específicos de plataforma de idioma. Si se trata de una consulta pura, deberá definir la variable y luego establecerla: DECLARE @custID int SET @custID = 1; –
De lo que está hablando es de la forma en que se escribe una consulta parametrizada. '@' solo significa que es un parámetro. Usted puede agregar el valor para ese parámetro durante el proceso de ejecución
eg:
sqlcommand cmd = new sqlcommand(query,connection);
cmd.parameters.add("@custid","1");
sqldatareader dr = cmd.executequery();
publish data where stoloc = 'AB143'
|
[select prtnum where stoloc = @stoloc]
Así es como el @ obras.
En su respuesta, brinde más detalles explicando cómo funciona el '@'. –
@ seguidos por un número son los parámetros en el orden en que están enumerados en una función.
ZERO? De Verdad? 'SELECT * FROM TABLEn WHERE ID =' & @Kibbee –
@Mark: ¿Podría explicarnos cómo se trata de un intento de inyección SQL válido? Por lo que puedo ver, sería un error si se envía a SqlServer. –
La razón de que no haya posibilidad de inyección de SQL es que el '@CustID' se reemplaza por una cadena. Cuando esa base de datos recibe una de estas variables, sabe que no escapará de la variable por nada dentro de ella. – Patrick548