当前位置:极客教程 > SQLite > SQLite Ruby 教程 > SQLite Ruby 绑定参数

SQLite Ruby 绑定参数

SQL 语句通常是动态构建的,用户提供一些输入,并且此输入已内置到语句中。 程序员每次处理用户的输入时都必须谨慎。 它具有一些严重的安全隐患。 动态构建 SQL 语句的推荐方法是使用参数绑定。

当我们绑定参数时,我们在语句中创建占位符。 占位符是 SQL 语句中的特殊标记。 它通常是一个问号?。 稍后,使用 bind_param,execute,query 等方法将参数绑定到占位符。 绑定参数可以防止 SQL 注入程序。 它会自动转义一些特殊字符并允许正确处理它们。

准备语句并在执行语句之前绑定其参数时,通常可以提高数据库性能。 在sqlite3 Ruby 模块中,始终准备语句。 即使我们不调用数据库对象的prepare方法而直接调用execute方法,该语句也是由sqlite3 Ruby 模块在后台准备的。

#!/usr/bin/ruby

require 'sqlite3'

begin

    db = SQLite3::Database.new "test.db"

    name = "Volkswagen"

    stm = db.prepare "SELECT * FROM Cars WHERE Name = ?"
    stm.bind_param 1, name
    rs = stm.execute

    row = rs.next    
    puts row.join "\s"

rescue SQLite3::Exception => e 

    puts "Exception occurred"
    puts e

ensure
    stm.close if stm
    db.close if db
end
Ruby

该示例从Cars表中为特定的汽车名称选择一行。

name = "Volkswagen"
Ruby

此值可能来自用户:例如,来自 HTML 表单。

stm = db.prepare "SELECT * FROM Cars WHERE Name = ?"
Ruby

问号?是值的占位符。 它将稍后添加到脚本中。

stm.bind_param 1, name
rs = stm.execute
Ruby

使用bind_param方法,名称变量与语句中的占位符关联。 execute方法将返回结果集。

$ ./bindparam1.rb 
8 Volkswagen 21600
Ruby

这是示例的输出。

接下来,我们提出另一种绑定参数的方式。

#!/usr/bin/ruby

require 'sqlite3'

begin

    db = SQLite3::Database.new "test.db"

    id = 4

    stm = db.prepare "SELECT * FROM Cars WHERE Id = :id"
    rs = stm.execute id

    row = rs.next    
    puts row.join "\s"

rescue SQLite3::Exception => e 

    puts "Exception occurred"
    puts e

ensure
    stm.close if stm
    db.close if db
end
Ruby

我们从Cars表中为特定 ID 选择一行。

stm = db.prepare "SELECT * FROM Cars WHERE Id = :id"
Ruby

以前,我们已经看到一个问号作为占位符。 SQLite Ruby 也支持命名占位符。

rs = stm.execute id
Ruby

该参数绑定在execute方法中。

我们提供了另一种绑定参数的方法。

#!/usr/bin/ruby

require 'sqlite3'

begin

    db = SQLite3::Database.new "test.db"

    id = 3
    row = db.get_first_row "SELECT * FROM Cars WHERE Id = ?", id       
    puts row.join "\s"

rescue SQLite3::Exception => e 

    puts "Exception occurred"
    puts e

ensure
    db.close if db
end
Ruby

这次,所有事情(准备语句,绑定参数和执行语句)都使用一种方法完成。

row = db.get_first_row "SELECT * FROM Cars WHERE Id = ?", id
Ruby

get_first_row是一种便捷的方法,一步完成三件事。

在最后一个示例中,我们将在一个语句中绑定多个参数。

#!/usr/bin/ruby

require 'sqlite3'

begin

    db = SQLite3::Database.new ":memory:"

    stm = db.prepare "SELECT 2 + ? + 6 + ? + ?"
    stm.bind_params 3, 4, 6
    rs = stm.execute

    row = rs.next    
    puts row

rescue SQLite3::Exception => e 

    puts "Exception occurred"
    puts e

ensure
    stm.close if stm
    db.close if db
end
Ruby

在该示例中,SQL 语句中有更多的占位符。

stm = db.prepare "SELECT 2 + ? + 6 + ? + ?"
Ruby

SELECT 语句中有三个占位符。

stm.bind_params 3, 4, 6
Ruby

我们用bind_params方法绑定三个值。

$ ./bindparams.rb
21
Ruby

这是bindparams.rb程序的输出。

Python教程

Python 教程

Python 教程
Tkinter 教程

Tkinter 教程
Pandas 教程

Pandas 教程
NumPy 教程

NumPy 教程
Flask 教程

Flask 教程
Django 教程

Django 教程
PySpark 教程

PySpark 教程
wxPython 教程

wxPython 教程
SymPy 教程

SymPy 教程
Seaborn 教程

Seaborn 教程
SciPy 教程

SciPy 教程
RxPY 教程

RxPY 教程
Pycharm 教程

Pycharm 教程
Pygame 教程

Pygame 教程
PyGTK 教程

PyGTK 教程
PyQt 教程

PyQt 教程
PyQt5 教程

PyQt5 教程
PyTorch 教程

PyTorch 教程
Matplotlib 教程

Matplotlib 教程
Web2py 教程

Web2py 教程
BeautifulSoup 教程

BeautifulSoup 教程

Java教程

Java 教程

Java 教程

Web教程

HTML 教程

HTML 教程
CSS 教程

CSS 教程
CSS3 教程

CSS3 教程
jQuery 教程

jQuery 教程
Ajax 教程

Ajax 教程
AngularJS 教程

AngularJS 教程
TypeScript 教程

TypeScript 教程
WordPress 教程

WordPress 教程
Laravel 教程

Laravel 教程
Next.js 教程

Next.js 教程
PhantomJS 教程

PhantomJS 教程
Three.js 教程

Three.js 教程
Underscore.JS 教程

Underscore.JS 教程
WebGL 教程

WebGL 教程
WebRTC 教程

WebRTC 教程
VueJS 教程

VueJS 教程

数据库教程

SQL 教程

SQL 教程
MySQL 教程

MySQL 教程
MongoDB 教程

MongoDB 教程
PostgreSQL 教程

PostgreSQL 教程
SQLite 教程

SQLite 教程
Redis 教程

Redis 教程
MariaDB 教程

MariaDB 教程

图形图像教程

Vulkan 教程

Vulkan 教程
OpenCV 教程

OpenCV 教程

大数据教程

R语言 教程

R语言 教程

开发工具教程

Git 教程

Git 教程
VSCode 教程

VSCode 教程
Docker 教程

Docker 教程
Gerrit 教程

Gerrit 教程
Excel 教程

Excel 教程

计算机教程

Go语言 教程

Go语言 教程
C++ 教程

C++ 教程

SQLite Ruby 教程

登录

找回密码?

注册