如何創建參數化SQL查詢?我為什么要?我聽說“每個人”都在使用參數化SQL查詢來防止SQL注入攻擊,而不必為每一條用戶輸入進行操作。你怎么做到這一點?使用存儲過程時是否自動獲得此信息?所以我理解這是非參數化的:cmdText = String.Format("SELECT foo FROM bar WHERE baz = '{0}'", fuz)這會參數化嗎?cmdText = String.Format("EXEC foo_from_baz '{0}'", fuz)或者我是否需要做更廣泛的事情以保護自己免受SQL注入?With command .Parameters.Count = 1
.Parameters.Item(0).ParameterName = "@baz"
.Parameters.Item(0).Value = fuzEnd With除安全考慮因素外,使用參數化查詢還有其他優點嗎?更新:這篇偉大的文章與Grotok引用的一個問題相關聯。http://www.sommarskog.se/dynamic_sql.html
如何創建參數化SQL查詢?我為什么要?
胡說叔叔
2019-05-28 17:25:12