标签: c# sql .net oledb
一旦插入参数,如何获得带参数化SQL查询的String?
答案 0 :(得分:5)
我认为您假设参数值将被注入SQL并且最终发送到服务器的是单个字符串。没有理由为什么需要这样 - 尽管在某些情况下可能会这样。
通常,将参数发送到数据库以及 SQL更有意义,但与之不同。这样就可以减少SQL引擎的工作量(例如解析已经被包含在字符串中的数值),减少客户端的工作量,减少由于未能完全逃避所有内容而导致SQL注入攻击的风险。