SQL Server 防注入参数化之 Where in

程序中执行SQL时,可以使用参数化防注入,如:

但是where id形式不可以直接使用参数化:

将逗号分隔的字符串转换为参数table,再使用参数化调用,如:
 where in 字符串:
字符串转换参数(string类型)table函数如下:

 字符串转换参数(int类型)table函数如下:

© 2018, ITJOY.NET. 版权所有. 如未注明,均为原创,转载请注明出处。

发表评论

邮箱地址不会被公开。 必填项已用*标注