eLe*_*ner 1 .net c# sql oledb
一旦插入参数,如何获取带参数化SQL查询的String?
Jon*_*eet 5
我认为你假设参数值将被注入到SQL中,并且最终被发送到服务器的是一个字符串.没有理由为什么需要这样 - 尽管在某些情况下可能会这样.
通常,将参数与 SQL 一起发送到数据库但与之不同是更有意义的.这样就可以减少SQL引擎的工作量(例如解析已经被包含在字符串中的数值),减少客户端的工作量,减少由于未能完全逃脱所有内容而导致SQL注入攻击的风险.
归档时间:
10 年,6 月 前
查看次数:
135 次
最近记录: