刘奇云

摘要： sql参数必须参数化，否则，有心者可以通过参数对数据库可以做一些非常可怕的事情； 例如： 后台sql如果是拼接的，比如：select * from table where g_id=Context.Request["g_id"]; 请求url:http://localhost:64065/Handl 阅读全文