日期:2014-05-18  浏览次数:20426 次

SqlParameter问题,小菜鸟
SqlCommand   cmd   =   new   SqlCommand( "insert   into   book(username,sex,body,qq,email,face,adddate,ishidden,homepage)   values(@username,@sex,@body,@qq,@email,@face,@adddate,@ishidden,@homepage) ",   conn);
                        cmd.Parameters.Add(new   SqlParameter( "@username ",   SqlDbType.NVarChar,   20));
                        cmd.Parameters[ "@username "].Value   =   ly.username;
在Parameters集合里面加参数有什么用处,为什么要这样做,这个参数可以用来干吗


------解决方案--------------------
用参数可以防止SQL注入等问题。
------解决方案--------------------
参数化SQL语句最大的好处还是在于防注入

------解决方案--------------------
用参数了
就不能通过 拼接字符串 来 构造 sql 语句
------解决方案--------------------
将 sql 注入 攻击拒之门外