有多个条件组合查询时如果使用拼写Sql语句方法存在安全的漏洞,那么改为存储过程方式,就是将拼写好的SQL当成一个参数,这样似乎也不太合适,还是使用参数方式的话那么组合呢,如查询条件:title,flag,date,dept如果是拼SQL可以很简单的:if title != ""
sql += "and title = '" + title + "'";if flag != "" .............现在就是问大家,如果改为参数方式时,怎么办呢
sql += "and title = '" + title + "'";if flag != "" .............现在就是问大家,如果改为参数方式时,怎么办呢
{
sql += "and title = @title;
//这里加参数
cmd.addPara....()
}