我最近浏览了一些旧的数据库访问层代码。我发现了以下形式的一些内联查询:
string query = "SELECT COL1 FROM TABLE1 WHERE COL3 = " + colvalue + "";
我想知道为什么开发人员在最后用双引号添加了查询。是这个惯例还是有意义?
答案 0 :(得分:2)
它完全没有任何区别......
它也没有帮助阻止sql-injection
使用命令参数或存储过程来防止sql-injection
答案 1 :(得分:0)
似乎""之间有一些额外的查询,例如where等。但它不会影响功能。
使用参数进行此类工作始终是一种好习惯。