TA贡献1906条经验 获得超2个赞
使用参数化的SQL语句能有避免SQL注入,不用oledbparameter参数的SQL语句,无非就是用拼接字符串的方式来写SQL语句,没有经过任何过滤,会有危险字符进入,用oledbparameter的话,内部会自动帮你过滤
另外如果你是用的Sql Server数据库的,用存储过程的话,因为你存储过程是存放在数据库服务端的,这时候就得用参数了,参数的值在程序里提供,因为是sql server嘛,所以用的是SqlParameter,而不是oledbparameter
TA贡献1810条经验 获得超4个赞
参数传递,很多人提问怎么过滤SQL注入,答案第一个就是参数传递。
示例:使 用 OleDbParameter 变量 时要注意参数和参数数组,及数组赋值时的顺序
举报
