![为什么使用SqlParameter []而不嵌入参数?](http://www.mshxw.com/aiimages/31/370002.png "为什么使用SqlParameter []而不嵌入参数?")
第一个也是绝对最重要的原因是,您的查询可以执行您 期望的操作 ,而不是 恶意地使它
执行的操作。看一下有关SQL注入的Wikipedia文章。
除了减轻(有效消除)SQL注入的风险外,使用参数还允许SQL
Server利用缓存的查询计划。在您的特定实例(您只是在调用存储过程,几乎肯定已经编译并缓存了其计划)的特定实例中,这不是问题,但这是您需要参数化查询的更一般的原因。
另一个原因(如Ali在另一个答案中指出的那样)是,
string.Format无论本机.NET类型的字符串表示形式如何,使用该方法都将为您提供参数。对于数字,这不是问题。对于字符串类型,您将必须用单引号引起来,并正确地转义任何嵌入的引号(以及可能的其他清除例程)。使用该参数可使SQL客户端库担心如何将数据传递到服务器。
就是说,我不会使用您上面编写的代码。我根本不会构造
SqlParameters的数组。有多种方法可以将参数添加到
SqlCommand(或
DbCommand正在使用的任何内容)中,例如
AddWithValue,提供了一种较简单的机制,足以满足大多数要添加的参数的需要。
即使忽略
AddWithValue,我仍然会为每个参数创建单独的变量,并将其命名为有意义的名称。
var parm1 = new SqlParameter("parm1", SqlDbType.VarChar, 3);var parm2 = new SqlParameter("parm2", SqlDbType.VarChar, 8);var parm3 = new SqlParameter("parm3", SqlDbType.VarChar, 2);var parm4 = new SqlParameter("parm4", SqlDbType.VarChar, 4);parm1.Value = p1;parm2.Value = p2;parm3.Value = p3;parm4.Value = p4;(显然,类似
parm1或的名称
parm2没有意义,但我认为 实际的 参数名称比示例更有意义)
