ADODB Recordset.Open給語法錯誤擅長於SQL

Question

我敬酒，想不通爲什麼我在 rst.Open STRSQL

我已經試過了線得到一個語法錯誤與rst.Open strSQL，cnt，adOpenStatic，adLockReadOnly，adCmdText

但它仍然給我一個錯誤。

我有一個偷偷的猜疑，它與strSQL如何獲取單元格值並將其追加到字符串的末尾。

任何幫助，高度讚賞。

Public Sub EzPz() 

Dim cnt As ADODB.Connection 
Dim rst As ADODB.Recordset 


Set cnt = New ADODB.Connection 
Set rst = New ADODB.Recordset 


Dim strSQL As String 

'Open connection 
cnt.ConnectionString = "Driver={SQL Server};Server=HIDDEN;Database=HIDDENXX;Trusted_Connection=yes;UID=HIDDENU;PWD=HIDDENP;" 
cnt.Open 

'String for SQL cmd 
Dim p1 As Range 
Set p1 = ActiveSheet.Cells(1, 4) 
strSQL = "SELECT DBNAME.vItem.Upc FROM DBNAME.vItem WHERE vItem.ItemDesc=" & p1.Value 



rst.ActiveConnection = cnt  
rst.Open strSQL 

ActiveSheet.Cells(1, 1).CopyFromRecordset rst 

End Sub 

Answer 1

您的代碼需要SQL注入。您可以將字符串文字用單引號as shown in this answer括起來以解決語法錯誤，但這不能解決嚴重的安全問題。

Obligatory XKCD

那麼，你如何安全參數查詢？用參數化查詢！

Dim conn As ADODB.Connection 
Set conn = New ADOBD.Connection 
.ConnectionString = "connection string ideally using Windows Authentication" 
.Open 

理想情況下，您的連接字符串不包含任何用戶名或密碼;您的服務器需要配置爲支持Windows身份驗證才能正常工作 - 然後，查詢將使用登錄的Windows用戶的憑據執行，並且該用戶的權限的權限爲。

Dim cmd As ADODB.Command 
Set cmd.ActiveConnection = conn 
cmd.CommandType = adCmdText 
cmd.CommandText = "SELECT DBNAME.vItem.Upc FROM DBNAME.vItem WHERE vItem.ItemDesc = ?;" 

設置一個Command對象。 CommandText將作爲您的SQL語句，但不是將參數連接到它中，而是使用每個問號的?問號。

Dim itemDesc As ADODB.Parameter 
Set itemDesc = New ADODB.Parameter 
itemDesc.Type = adVarChar 
itemDesc.Direction = adParamInput 
itemDesc.Value = p1.Value 

cmd.Parameters.Append(itemDesc) 

在SQL語句中的每個?問號創建Parameter。您必須爲每個?問號提供參數。

Dim results As ADODB.Recordset 
Set results = cmd.Execute 

通過調用命令的Execute方法獲得Recordset;服務器處理參數。

ActiveSheet.Cells(1, 1).CopyFromRecordset results 

如果一切順利，Recordset包含您的結果。

總是使用參數化查詢：連接到SQL語句的用戶輸入是瘟疫。

Answer 2

SQL需要理解字符串文字，您需要用單引號分隔字符串文本以使語法有效。

你可以試試看看是否有效？

strSQL = "SELECT DBNAME.vItem.Upc FROM DBNAME.vItem WHERE vItem.ItemDesc= '" & p1.Value & "'"