我有一个接受这样的SQL语句的函数:
Public ExecuteReader(ByVal strSQL As String)
Dim objCommand as New SQLCommand(strSQL)
End Public
以前的开发人员连接了这样的字符串(我注意易于SQL注入):
SELECT * FROM Person WHERE ID = " & intID & "
我现在正在使用SQL参数,例如strSQL现在可以
SELECT * FROM Person WHERE ID = @ID
我认为唯一的选择是让调用函数添加参数并将参数值传递给ExecuteReader,即
Public ExecuteReader(ByVal strSQL As String, ByVal params as dbParameter)
有更简单的方法吗?
答案 0 :(得分:1)
我认为唯一的方法是使用
addWithValue("@ID", value)
我认为没有更简单的方法......