什么是“查询参数”？ 在 C++ 中？

Question

我们使用 stringstream 在 C++ 中准备选择查询。 但强烈建议我们使用 QUERY PARAMETERS 来提交 db2 sql 查询，以避免使用 stringstream。 谁能分享一下 C++ 中查询参数的确切含义吗？ 另外，分享一些实用的示例代码片段。

提前感谢您的帮助。

编辑：它是 stringstream 而不是 strstream。

谢谢， 马修·李居

Answer 1

我怀疑这通常指的是参数化查询，而不是在字符串中构造查询，它们提供 sql 变量（或参数），然后单独传递这些变量。 这些对于处理 SQL 注入攻击来说要好得多。 举个例子来说明：

"SELECT * FROM Customers WHERE CustomerId = " + _customerId; 

很糟糕，而这个：

"SELECT * FROM Customers where CustomerId = @CustomerId" 

很好。 问题是你必须将参数添加到查询对象（我不知道这在 C++ 中是如何完成的。

参考其他问题：

• https://stackoverflow.com/questions/1973/what-is-the-best-way-to-avoid-sql-injection-攻击
• 存储过程与参数化查询

Wild Wild Web：

• http://www.justsoftwaresolutions.co.uk/database/database-提示-use-parameterized-queries.html

Answer 2

参数化查询形式的sql查询比字符串格式的sql查询安全，可以避免sql注入攻击。
参数化查询示例

StringBuilder sqlstr = new StringBuilder();  
cmd.Parameters.AddWithValue("@companyid", CompanyID);  
sqlstr.Append("SELECT evtconfigurationId, companyid, 
  configname, configimage FROM SCEVT_CONFIGURATIONS ");
sqlstr.Append("WHERE companyid=@companyid ");

查询字符串格式示例

StringBuilder sqlstr = new StringBuilder();   
sqlstr.Append("SELECT evtconfigurationId, companyid, configname, 
   configimage FROM SCEVT_CONFIGURATIONS ");
sqlstr.Append("WHERE companyid" +  CompanyID);