SQL Server 防注入参数化之 Where in

程序中执行SQL时,可以使用参数化防注入,如:

但是where id形式不可以直接使用参数化:

将逗号分隔的字符串转换为参数table,再使用参数化调用,如:
 where in 字符串:
字符串转换参数(string类型)table函数如下:

 字符串转换参数(int类型)table函数如下: