2009年2月7日
SqlParameter的用法
摘要: 1.SqlParameter表示SqlCommand的参数,也可以是他到DataSet列的映射 到目前为止,我只理解了前半句话,SqlParameter类型的数组作为SqlCommand的参数存在,配合转义字符@,可以有效的防止' or 1=1--单引号而截断字符串,这一经典的注入语句,有效提高拼接型sql命令的安全性。 例: #region 传入参数并且转换为SqlParameter类型... 阅读全文
posted @ 2009-02-07 19:17 梅林听风 阅读(10802) 评论(1) 推荐(0)