我想我可能在这里遗漏了一些非常明显的东西，但我在这方面苦苦挣扎的时间太长了，而且我的 C++ 已经生锈了(10 年以上)

下面的代码工作正常，但我需要能够将变量传递到 lname 的查询中。如果我在字符串或字符数组中构建查询，我会得到一个错误，它与 SQLWCHAR* 的参数类型不兼容

我知道下面的代码容易受到 sql 注入(inject)的攻击，但这是对一个孤立系统的一次性攻击，所以我真正寻求的是简单性而不是其他任何东西......

SQLHENV env;
SQLHDBC dbc;
SQLHSTMT  sql_hStmt;
SQLRETURN ret;
SQLWCHAR outstr[1024];
SQLSMALLINT outstrlen;

SQLAllocHandle(SQL_HANDLE_ENV, SQL_NULL_HANDLE, &env);
SQLSetEnvAttr(env, SQL_ATTR_ODBC_VERSION, (void *) SQL_OV_ODBC3, 0);
SQLAllocHandle(SQL_HANDLE_DBC, env, &dbc);

ret = SQLDriverConnect(dbc, NULL, L"DSN=myDSN", SQL_NTS, NULL, 0, NULL, SQL_DRIVER_COMPLETE);

ret = SQLAllocHandle(SQL_HANDLE_STMT, dbc, &sql_hStmt);
SQLWCHAR* SQL = L"select * from DB.employees where lname='Smith'";
ret = SQLExecDirect(sql_hStmt, SQL, SQL_NTS);

SQLFetch(sql_hStmt);

最佳答案

这里有两个问题，一个是构造一个包含你想要的查询的字符串，另一个是将该字符串作为参数传递给函数。

我的建议是在达到这些 C 边界之前尽可能保持“C++”。所以我们应该使用 std::wstring 进行字符串处理，直到它需要成为 C 风格的字符串为止:

std::wstring statementText = L"select * from DB.employees where lname='Smith'";
ret = SQLExecDirect(sql_hStmt, const_cast<SQLWCHAR*>(statementText.c_str()), SQL_NTS);

c_str() 成员函数返回一个指向空终止数组的指针(即 C 风格的字符串)，但该指针的类型为 const wchar_t*;也就是说，不能修改此 C 风格字符串的内容。

这是一个问题，因为 SQLWCHAR* 只是 wchar_t*；它不 promise 不理会数据。这就是为什么我包含 const_cast，以从 c_str() 值中删除 const。

这不是你通常想要做的事情。 const_cast 可以说是最可怕的转换，因为你直接打开了未定义行为的大门，因为它是 UB 来修改一个常量对象:

const int x = 0;
const int* p = &x; // anyone using this pointer can't modify x

int* bad = const_cast<int*>(p); // but this one is not so good
*bad = 5; // undefined behavior

不过，这里没问题的原因是 SQLExecDirect 实际上 不修改它传递的字符串；这只是一个没有使用 const 的实现错误，所以我们把它拿走是可以的。 (这种缺少 const 的错误在 C 中很常见。)

如果您确实需要一个可以修改的缓冲区，那么从当前版本的 C++ (C++11) 开始，您可以安全地执行此操作:

std::wstring statementText = L"select * from DB.employees where lname='Smith'";
ret = SQLExecDirect(sql_hStmt, &statementText[0], SQL_NTS);

我们获取第一个元素的地址，它本身位于一个以 null 结尾的数组中；另一个 C 风格的字符串。不过这一次，我们有一个可修改的数组；类型已经匹配。

(我注意到这在 C++11 中是可以的原因是技术上在以前的版本 C++03 中，这种行为是不能保证的。它实际上是为了，但标准中的措辞错误使其并非如此。实际上，无论哪种方式都可以。)

您想使用哪一个取决于您。有些人会争辩说一直使用 &str[0] 所以我们肯定没有 UB，我会争辩说要记录你的意图和信念，即函数不会修改字符串并丢弃 const 但最终以 const 心态运作。如果发生不好的事情，与希望你戴上它相比，远离 const 更容易放松。

需要注意的一件重要事情是，所有这些返回的指针(str.c_str() 或 &str[0])只有在 str 对象本身是活的，没有被修改。这很糟糕:

const wchar_t* get_query()
{
    std::wstring result = /* build query */;

    // oops, this pointer stops being meaningful when result stops existing!
    return result.c_str();
}

有了这些，构建这些字符串就很容易了。我们有 std::wstringstream:

std::wstringstream ss; 

ss << "this is basically an expanding buffer that accepts anything std::wcout will";
ss << std::endl;
ss << "this includes integers " << 5 << " and other stream-insertable types";

所以你可能想要这样的东西:

std::wstring build_query(const std::wstring& name)
{
    // you can provide a starting string
    std::wstringstream result(L"select * from DB.employees where lname=");

    result << "\'" << name << "\'";

    return result.str(); // this captures the buffer as a C++ string
}

// Remember, this would be bad!
//
// SQLWCHAR* SQL = const_cast<SQLWCHAR*>(build_query(L"Smith").c_str());
//
// Because the C++ string returned by build_query is temporary;
// it stops existing at the end of this full expression,
// so SQL would be a bad pointer. This is right:

std::wstring SQL = build_query(L"Smith");
ret = SQLExecDirect(sql_hStmt, const_cast<SQLWCHAR*>(SQL.c_str()), SQL_NTS);

希望对您有所帮助。

此外，除了宏之外，我会避免使用全上层标识符，因为阅读 C++ 代码的人绝大多数都认为这些名称是宏。此外，我在我的示例代码中使用了 C++ 风格的转换；你也应该这样做。 C 风格的转换 ((type)value) 太强大了，不安全。

关于C++ 和 MySQL - 如何在我的查询中包含变量？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/15328745/