执行sql语句时参数化,有什么好处
比如:stringsql="insertintoinfill(levels,times,point)values(@levels,@times,@point)";SqlP...
比如:
string sql = "insert into infill(levels,times,point) values(@levels,@times,@point)";
SqlParameter[] par = new SqlParameter[]
{
new SqlParameter("@levels",levels),
new SqlParameter("@times",times),
new SqlParameter("@point",point)
};
DbHelperSQL.ExecuteNonQuery(sql,par);
不用参数就可以
string sql = "insert into infill(levels,times,point) values("+levels+","+times+","+point+")";
DbHelperSQL.ExecuteNonQuery(sql,par);
最后一句写错了,是DbHelperSQL.ExecuteNonQuery(sql); 展开
string sql = "insert into infill(levels,times,point) values(@levels,@times,@point)";
SqlParameter[] par = new SqlParameter[]
{
new SqlParameter("@levels",levels),
new SqlParameter("@times",times),
new SqlParameter("@point",point)
};
DbHelperSQL.ExecuteNonQuery(sql,par);
不用参数就可以
string sql = "insert into infill(levels,times,point) values("+levels+","+times+","+point+")";
DbHelperSQL.ExecuteNonQuery(sql,par);
最后一句写错了,是DbHelperSQL.ExecuteNonQuery(sql); 展开
展开全部
好处是可以和程序或网站的使用者进行交互对话,根据使用者提供的信息搜索出不同的答案。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
防注入。
比如你登录的语句写成:
string sql="select uid from login where uid='"+uid+"' and pwd='"+pwd+"'";
那只需要把密码写成'or'0'='0就可以登录了
比如你登录的语句写成:
string sql="select uid from login where uid='"+uid+"' and pwd='"+pwd+"'";
那只需要把密码写成'or'0'='0就可以登录了
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
防止sql注入
本回答被提问者采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
|
广告 您可能关注的内容 |
