所在的{}，會自動回收對象。 原因是當我們將要出{}，系統自動調用了Dispose()方法。 而 ...

參數化查詢(Parameterized Query 或 Parameterized Statement)是指在設計與數據庫鏈接並訪問數據時，在需要填入數值或數據的地方，使用參數 (Parameter) 來給值，這個方法目前已被視為最有效可預防SQL注入攻擊 (SQL Injection) 的攻擊 ...

　　在初次接觸sql時，筆者使用的是通過字符串拼接的方法來進行sql查詢，但這種方法有很多弊端 其中最為明顯的便是導致了sql注入。 　　通過特殊字符的書寫，可以使得原本正常的語句在sql數據庫里可編譯，而輸入者可以達到某些非法企圖甚至能夠破壞數據庫。 　　而參數化查詢 ...

啊 ...

SQL注入的本質 SQL注入的實質就是通過SQL拼接字符串追加命令，導致SQL的語義發生了變化。為什么發生了改變呢？ 因為沒有重用以前的執行計划，而是對注入后的SQL語句重新編譯，然后重新執行了語法解析。 所以要保證SQL語義不變，（即想要表達SQL本身的語義，並不是注入后的語義）就必須保證 ...

多個參數化是固定比較easy，多個動態的就有點。。。工作中遇到的問題整理下來分享 ，上代碼 最終是用 param 就 ok 了 ...

List<SqlParameter> listSqlParameter = new List<SqlParameter>(); string _strWhere += " AND ( Name LIKE @Name ...

為什么要使用參數化查詢呢？參數化查詢寫起來看起來都麻煩，還不如用拼接sql語句來的方便快捷。當然，拼接sql語句執行查詢雖然看起來方便簡潔，其實不然。遠沒有參數化查詢來的安全和快捷。 今天剛好了解了一下關於Sql Server 參數化查詢和拼接sql語句來執行查詢的一點區別。 參數化查詢 ...