ASP Classique Paramètre Nommé dans Paramaterized Requête: Doit déclarer la variable scalaire

Je suis en train d'écrire une requête paramétrée en ASP Classique, et il commence à se sentir comme je suis de battre ma tête contre un mur. J'obtiens l'erreur suivante:

Doit déclarer la variable scalaire "@quelque chose".

J'avouerais qu'est ce que le bonjour de ligne, mais peut-être que je suis absent quelque chose...

<% OPTION EXPLICIT %>
<!-- #include file="../common/adovbs.inc" -->
<%

    Response.Buffer=false

    dim conn,connectionString,cmd,sql,rs,parm

    connectionString = "Provider=SQLOLEDB.1;Integrated Security=SSPI;Data Source=.\sqlexpress;Initial Catalog=stuff"
    set conn = server.CreateObject("adodb.connection")
    conn.Open(connectionString)

    set cmd = server.CreateObject("adodb.command")
    set cmd.ActiveConnection = conn
    cmd.CommandType = adCmdText
    cmd.CommandText = "select @something"
    cmd.NamedParameters = true
    cmd.Prepared = true
    set parm = cmd.CreateParameter("@something",advarchar,adParamInput,255,"Hello")
    call cmd.Parameters.append(parm)
    set rs = cmd.Execute
    if not rs.eof then
        Response.Write rs(0)
    end if


%>

OriginalL'auteur My Alter Ego | 2009-07-07

  1. 4

    Voici un exemple de code à partir d'un article de MSDN Library sur la prévention des attaques par injection SQL. Je ne trouve pas l'URL d'origine, mais une recherche sur google le titre de mots-clés (Prévention des Injections SQL en ASP) devrait vous permettre d'y parvenir assez rapidement. Espérons que cet exemple réel aide.

    strCmd = "select title, description from books where author_name = ?"
Set objCommand.ActiveConnection = objConn
objCommand.CommandText = strCmd
objCommand.CommandType = adCmdText
Set param1 = objCommand.CreateParameter ("author", adWChar, adParamInput, 50)
param1.value = strAuthor
objCommand.Parameters.Append param1
Set objRS = objCommand.Execute()

    Voir la page suivante sur le site MSDN, près du fond, en se référant à des paramètres nommés.

    MSDN exemple

    Merci. Est-il possible de le faire avec des paramètres nommés?
    Voir la mise à jour que j'ai posté pour la réponse.

    OriginalL'auteur Bork Blatt

  2. 3

    ADO va s'attendre à des points d'interrogation à la place des noms de paramètres réels dans ce cas. Maintenant, le SQL "select @quelque chose" n'est pas réellement paramétrable: il voit le "@quelque chose comme" (non déclarées) variable SQL, pas en tant que paramètre. Changer votre CommandText ligne:

    cmd.CommandText = "select ?"

    Et je pense que vous allez obtenir le résultat que vous recherchez.

    Bonne chance!

    Yip. J'ai réussi à obtenir ce droit. Mais je voudrais vraiment obtenir le nommé aspect de travail, comme il va être difficile de garder une trace de l'ordre des paramètres une fois que les requêtes ou les états à s'impliquer davantage.
    Après avoir essayé quelques variations de cela, je n'étais pas en mesure de venir avec une solution. Je soupçonne que l'utilisation de paramètres nommés est seulement d'aller travailler si vous êtes l'appel d'une procédure stockée, pas l'envoi d'une commande SQL.

    OriginalL'auteur Chris Nielsen

  3. 3
    with server.createobject("adodb.command")
  .activeConnection = application("connection_string")
  .commandText = "update sometable set some_col=? where id=?"
  .execute , array(some_value, the_id)
end with

    OriginalL'auteur Joost Moesker

  4. 0

    Je ne suis pas sûr de ce que votre requête est destinée à accomplir. Je suis également pas sûr que les paramètres sont autorisés dans la liste de sélection. MSDN utilisé pour l'avoir (il y a plusieurs années, probablement) un décent article sur où les paramètres ont été admis dans une requête, mais je n'arrive pas à le trouver maintenant.

    OTTOMH, vos tentatives pour fournir les valeurs de paramètre pour ADO l'air correct. Est-ce que votre requête à exécuter si vous faites quelque chose comme cela?

    SELECT 1 FROM sometable WHERE somefield = @something
    Il fonctionne très bien avec un point d'interrogation, de sorte que le paramètre peut être dans la liste de sélection. Le problème est le même si je déplace le paramètre de clause where. Le point de la requête est d'avoir le plus court exemple qui me vient en tête pour d'autres, à bricoler avec.

    OriginalL'auteur Chris Farmer