110,536
社区成员
发帖
与我相关
我的任务
分享
...全文
请发表友善的回复…
发表回复
十二恨 2012-07-12
- 打赏
- 举报
[Quote=引用 1 楼 的回复:]
http://www.cnblogs.com/PaulMa/archive/2010/11/09/1872464.html
一搜一大把的。 根本不需要问吧。
[/Quote]1楼的对我很有用谢了
http://www.cnblogs.com/PaulMa/archive/2010/11/09/1872464.html
一搜一大把的。 根本不需要问吧。
[/Quote]1楼的对我很有用谢了
dalmeeme 2012-07-10
- 打赏
- 举报
关于这个,一直未找到权威参考。谈谈个人理解,仅供参考:
拼sql字符串:通过SQL编译器分析sql字符串,得出参数和参数值,所以容易被欺骗;
参数化SQL:通过编译器分析sql字符串,得出参数,而参数值不由编译器得出,由用户直接指定,也就是这一步绕过编译器,所以不会被欺骗。
拼sql字符串:通过SQL编译器分析sql字符串,得出参数和参数值,所以容易被欺骗;
参数化SQL:通过编译器分析sql字符串,得出参数,而参数值不由编译器得出,由用户直接指定,也就是这一步绕过编译器,所以不会被欺骗。
SQL77 2012-07-10
- 打赏
- 举报
简单的可以理解:拼接字符串的话是进行字符串加的过程,这样可能别人可以对输入的值进行一些特殊操作,
而参数话是当成一个值被传入而不是相加
而参数话是当成一个值被传入而不是相加
pz25925 2012-07-10
- 打赏
- 举报
http://www.cnblogs.com/PaulMa/archive/2010/11/09/1872464.html
一搜一大把的。 根本不需要问吧。
一搜一大把的。 根本不需要问吧。
