道歉,如果这似乎是一个愚蠢的问题,但如何使用参数抵御SQL注入和什么有关最佳做法,以T-SQL:抵御T-SQL注入
例如:这是最好的做法呢?
SqlCommand SqlCmd = new SqlCommand("SQL Command @X ....... @Y");
SqlCmd.CommandType = CommandType.Text;
SqlCmd.Parameters.AddWithValue("@X", SqlDbType.VarChar).Value = X;
SqlCmd.Parameters.AddWithValue("@Y", SqlDbType.date).Value = Y;
SqlCmd.Connection = ConnectionString;
谢谢,但我也对一般最佳实践感兴趣,并且评论提到了溢出问题。等等。? – TheIdiot 2013-04-24 22:19:36