timgao

摘要： 1.SqlParameter表示SqlCommand的参数，也可以是他到DataSet列的映射。作用：如果不采用SqlParameter，那么当输入的Sql语句出现歧义时，如字符串中含有单引号，经典例子“or ‘1=1’”永真式，有可能sql语句被截断，容易被黑客注入攻击，更有的甚至会导致你的数据库崩溃。sql注入的存在在最大危害，是sql的执行语句没有和控制语句分开，我们想要select一些东西，但用户可能拼出' or 1=1甚至再加上delete/update/drop，后来是属于控制语句了，所以要避免sql的注入，就必须把查询语句与控制语句分开。传统的查询语句的sql可能为str 阅读全文