2019年1月8日
存储过程中拼接sql并且参数化
c#调用如下: 上面的存储过程做了参数化处理,可以避免sql注入,相比直接拼接(SET @strWhere += ' and [userid] = ' +convert(varchar,@userid),然后用EXEC()方法执行),更高效、更安全,当然维护起来有点麻烦,还有一点排序的参数@orde Read More
posted @ 2019-01-08 16:38 一夜秋2014 Views(4957) Comments(0) Diggs(0) Edit