【发布时间】:2018-04-02 12:28:14
【问题描述】:
ho 在 SQL Select 查询中添加字符串变量。 “tw.local.subBarCode”是字符串变量,“tw.local.caseID”也是字符串变量。
示例:在变量中有一些值
CASE_ID=15232 和 SUBBARCODE=ODDV-1803-015232-HL01。
tw.local.sql="select CS.ORIGINALCHECK_ID AS checkId, "+
"CS.CHECKTYPE_ID AS checkTypeId, "+
"CS.CHECKTYPE_ID AS componentID, "+
"CT.NAME AS componentName "+
"from CHECK_SUMMARY CS INNER JOIN CHECKTYPE CT "+
"ON CT.ID=CS.CHECKTYPE_ID "+
"where CS.ORIGINALCHECK_ID="+tw.local.subBarCode+" and CS.CASE_ID="+tw.local.caseID+"";当我调试它在我的选择查询中获取变量时,如下所示。
select CS.ORIGINALCHECK_ID AS checkId,
CS.CHECKTYPE_ID AS checkTypeId,
CS.CHECKTYPE_ID AS componentID,
CT.NAME AS componentName from
CHECK_SUMMARY CS INNER JOIN CHECKTYPE CT
ON CT.ID=CS.CHECKTYPE_ID
where CS.ORIGINALCHECK_ID='ODDV-1803-015232-HL01''
and CS.CASE_ID=15232请任何人帮助我解决这个问题。
我在调试时需要如下查询。
select CS.ORIGINALCHECK_ID AS checkId,
CS.CHECKTYPE_ID AS checkTypeId,
CS.CHECKTYPE_ID AS componentID,
CT.NAME AS componentName from
CHECK_SUMMARY CS INNER JOIN CHECKTYPE CT
ON CT.ID=CS.CHECKTYPE_ID
where CS.ORIGINALCHECK_ID='ODDV-1803-015232-HL01'
and CS.CASE_ID=15232【问题讨论】:
-
不要使用连接,因为它非常不安全(SQL 注入攻击)。使用参数化 SQL,即对每个参数使用问号 (?),然后应用参数值。
标签: javascript sql oracle business-process-management