sql >> Databáze >  >> RDS >> Sqlserver

Jak SQLParameter zabraňuje vkládání SQL?

V podstatě, když provedete SQLCommand pomocí SQLParameters , parametry se nikdy nevkládají přímo do příkazu. Místo toho je v systému uložena procedura s názvem sp_executesql je volán a je mu přidělen řetězec SQL a pole parametrů.

Když jsou použity jako takové, jsou parametry izolovány a zachází se s nimi jako s daty, namísto toho, aby musely být z příkazu analyzovány (a tedy případně změněny), takže to, co parametry obsahují, nelze nikdy „spustit“. Dostanete pouze velkou chybu, že hodnota parametru je nějakým způsobem neplatná.



  1. SQL Server:Jak vybrat všechny dny v rozsahu dat, i když pro některé dny neexistují žádná data

  2. Výukový program MySQL – Pochopení sekund za hlavní hodnotou

  3. Jak zrychlit SELECT .. LIKE dotazy v MySQL na více sloupcích?

  4. Vyplnění zobrazené hodnoty položky na dotaz v Oracle Forms