sql1="insert into customers(companyName,contactName)valuers(@companyName,@contactName)"
sql2="insert into customers(companyName,contactName)valuers('"+companyName+"','"+contactName+"')"
同样的sql语句,这两句有什么区别啊?我一般都是用sql2的,但是现在频繁的见到sql1这样的形式。请详讲一下,谢谢!
------解决方案--------------------------------------------------------
第一种是参数化的方法
第二种相当于拼接字符串.拼接SQL
第一种方法可以有效的避免一些问题..如果一些sql注入等问题
推荐用第一种.抛弃第二种
------解决方案--------------------------------------------------------