sql语句什么时候用参数化语句,什么时候用占位符
asp.net中对数据操作sql语句什么时候用参数化语句(即像用@id这种形式),什么时候用占位符string.format(sql,'{0}',{1}),现在感觉有点晕...
asp.net中对数据操作sql语句什么时候用参数化语句(即像用@id这种形式),什么时候用占位符string.format(sql, '{0}',{1}),现在感觉有点晕了。有时参数化老出错,用占位符就可以。。 希望能得到帮助。。。先感谢
展开
2个回答
展开全部
sqlparameter是为了防止你的数据类型不对。
string.format(sql, '{0}',{1})是不工会管这些的,这样会造成如果有人恶意拼写参数,会执行某些恶意的sql,你的网站就危险了。
string.format(sql, '{0}',{1})是不工会管这些的,这样会造成如果有人恶意拼写参数,会执行某些恶意的sql,你的网站就危险了。
追问
哦,sqlparameter是为了防止你的数据类型不对。这句话让我恍然大悟,以前只知道它的作用,不懂它的原理。谢谢啊
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
