Что символ "@" делает в SQL?

Question

Я просматривал вопросы и заметил это:

SELECT prodid, issue
FROM Sales 
WHERE custid = @custid 
AND datesold = SELECT MAX(datesold) 
             FROM Sales s 
             WHERE s.prodid = Sales.prodid
                  AND s.issue = Sales.issue
                  AND s.custid = @custid

Мне было интересно, что "@" делает перед custID? Это просто способ ссылки на custID из выбранной таблицы?

Answer 1

@CustID означает, что это параметр, который вы будете указывать для дальнейшего использования в своем коде. Это лучший способ защиты от SQL-инъекций. Создайте свой запрос, используя параметры, а не объединяя строки и переменные. Механизм базы данных помещает значение параметра туда, где находится заполнитель, и вероятность внедрения SQL-кода равна нулю.

Answer 2

@ используется в качестве префикса, обозначающего имена хранимых процедур и параметров функций, а также имена переменных

Answer 3

Вы можете использовать синтаксис MySQL: Microsoft SQL @ совпадает с ?

MySQL *

Answer 4

Это параметр, который вам нужно определить. чтобы предотвратить SQL-инъекцию, вы должны передать все свои переменные в качестве параметров.

Answer 5

То, о чем вы говорите, - это способ написания параметризованного запроса. «@» просто означает, что это параметр. Вы можете добавить значение для этого параметра в процессе выполнения

eg:
sqlcommand cmd = new sqlcommand(query,connection);
cmd.parameters.add("@custid","1");
sqldatareader dr = cmd.executequery();

Answer 6

@, за которыми следует число, - это параметры в том порядке, в котором они перечислены в функции.

Answer 7

publish data where stoloc = 'AB143' 
|
[select prtnum where stoloc = @stoloc]

Так работает @.