摘要:
通常我们使用SqlParameter以取代一般的字符串拼接,其目的是:1、防止SQL拼接语法错误(PS:同时防止近视,因为长长的字符串拼接经常把你弄得眼冒金星的……),2、防止SQL注入式攻击(详见:)。但是并不是所有的SQL都可以直接使用SqlParameter直接替换这样子做那么简单,下面我们来看两个极端例子,顺便分析SqlParameter究竟是什么东西?1、LIKE+SqlParameter:假定有这样一句SQL语句:Select * from xxx where [FieldName] Like @value如果你是这样做的(省略了其它,关键看@value这部分):SqlComman 阅读全文
