SqlCommand cmd = new SqlCommand( "insert into book(username,sex,body,qq,email,face,adddate,ishidden,homepage) values(@username,@sex,@body,@qq,@email,@face,@adddate,@ishidden,@homepage) ", conn);
cmd.Parameters.Add(new SqlParameter( "@username ", SqlDbType.NVarChar, 20));
cmd.Parameters[ "@username "].Value = ly.username;
在Parameters集合里面加参数有什么用处,为什么要这样做,这个参数可以用来干吗
------解决方案--------------------------------------------------------
用参数可以防止SQL注入等问题。
------解决方案--------------------------------------------------------
参数化SQL语句最大的好处还是在于防注入
------解决方案--------------------------------------------------------
用参数了
就不能通过 拼接字符串 来 构造 sql 语句
------解决方案--------------------------------------------------------
将 sql 注入 攻击拒之门外