สารบัญ:
คำจำกัดความ - การค้นหาแบบ Parameterized หมายถึงอะไร
เคียวรีแบบกำหนดพารามิเตอร์เป็นชนิดของเคียวรี SQL ที่ต้องการอย่างน้อยหนึ่งพารามิเตอร์สำหรับการดำเนินการ ตัวยึดตำแหน่งถูกแทนที่โดยปกติสำหรับพารามิเตอร์ในแบบสอบถาม SQL จากนั้นพารามิเตอร์จะถูกส่งผ่านไปยังแบบสอบถามในคำสั่งแยกต่างหาก
Techopedia อธิบาย Parameterized Query
เหตุผลหลักข้อหนึ่งสำหรับการใช้คิวรีแบบพารามิเตอร์คือพวกเขาทำให้คิวรีอ่านได้ง่ายขึ้น เหตุผลที่สองและน่าสนใจที่สุดคือแบบสอบถามที่มีพารามิเตอร์ช่วยป้องกันฐานข้อมูลจากการโจมตีของการฉีด SQL
ต่อไปนี้เป็นตัวอย่างของแบบสอบถามแบบใช้พารามิเตอร์ ADO.NET:
เลือกนามสกุลจากรายชื่อติดต่อ WHERE ContactID = @ContactID;
@ContactID เป็นพารามิเตอร์สำหรับแบบสอบถามนี้ซึ่งอาจกำหนดไว้ในคำสั่งที่ตามมาคล้ายกับต่อไปนี้:
command.Parameters.Add (ใหม่ SqlParameter ("@ ContactID", theContactID));
