摘要: 在上一篇文章发表以后不少网友提意见说代码不规范,没有对sql使用参数,这确实是很大一个漏洞,所以我在这里首先谈一下参数化查询问题。 使用参数化查询的好处:可以防止sql注入式攻击,提高程序执行效率。 针对sql server .net data Provider,我们可以使用@作为前缀标记的参数。比如: const string connStr = "Data source=bineon;... 阅读全文