SqlParameter防止SQL注入

  SqlParameter[] parameters = {
    new SqlParameter("@AutoID", SqlDbType.Int,4) };
  parameters[0].Value = AutoID;

大概就是上面代码的那样子是最常使用的。

SqlParameter方法的原理呢，就是参数化查询时，用户输入的参数仅仅作为参数而永远不会作为查询语句的一部分

什么意思呢？直白的讲，参数化之后，用户输入的东西仅仅的SQL语句的参数，在执行的时候加上 ‘‘ 它仅仅作为参数，不会变成SQL逻辑语句的一部分。

SqlParameter防止SQL注入

标签：防止   ring   详细介绍   sql注入   details   方案   where   查询   param