存储过程怎么参数化sql语句?
日期:2014-05-17 浏览次数:20507 次
存储过程如何参数化sql语句???
有一条分页存储过程,第一个参数是sql语句,sql语句动态拼接而来,为了防止被注入攻击,所以我想参数化这条sql语句,请问怎么做???
------解决方案--------------------
sqlparameter参数,设置数据
select * from tb where id=@id
------解决方案--------------------
防止注入 你把这条sql语句后面加一些特殊字符再传递嘛 存储过程拿到以后截取就好了
------解决方案--------------------
没必要将sql语句作为参数,拼sql的动作放到村存储过程中完成这样不是更好吗?
------解决方案--------------------
OracleParameter[] parameters = {new OracleParameter(":sqlstr", racleType.VarChar, 4000) };
parameters[0].Value = 出入参数;
------解决方案--------------------
sqlParameter本身就会转义的,把sql看成普通的字符串就完了
有一条分页存储过程,第一个参数是sql语句,sql语句动态拼接而来,为了防止被注入攻击,所以我想参数化这条sql语句,请问怎么做???
------解决方案--------------------
sqlparameter参数,设置数据
select * from tb where id=@id
------解决方案--------------------
防止注入 你把这条sql语句后面加一些特殊字符再传递嘛 存储过程拿到以后截取就好了
------解决方案--------------------
没必要将sql语句作为参数,拼sql的动作放到村存储过程中完成这样不是更好吗?
------解决方案--------------------
OracleParameter[] parameters = {new OracleParameter(":sqlstr", racleType.VarChar, 4000) };
parameters[0].Value = 出入参数;
------解决方案--------------------
sqlParameter本身就会转义的,把sql看成普通的字符串就完了
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
