大家觉得NET存储过程的写法那种更安全,更优化
1:
SqlParameter[] ParamList ={
sqlHelper.CreateInParam("@ClassID",SqlDbType.Int,4,product.productClass.ClassID),
sqlHelper.CreateInParam("@Pro_Name",SqlDbType.NVarChar,50,product.Pro_Name),}
2:SqlParameter[] parameters = {
new SqlParameter("@c_fixtype2", SqlDbType.Int,4),
new SqlParameter("@c_isdel", SqlDbType.Int,4)};
parameters[0].Value = model.c_classname;
parameters[1].Value = model.c_isfix;
之前听说这两种写法,有一种更安全,更优化,但是小弟不晓得原理是什么?
希望知道的大虾指点一二,小弟习惯第一种写法!
1:
SqlParameter[] ParamList ={
sqlHelper.CreateInParam("@ClassID",SqlDbType.Int,4,product.productClass.ClassID),
sqlHelper.CreateInParam("@Pro_Name",SqlDbType.NVarChar,50,product.Pro_Name),}
2:SqlParameter[] parameters = {
new SqlParameter("@c_fixtype2", SqlDbType.Int,4),
new SqlParameter("@c_isdel", SqlDbType.Int,4)};
parameters[0].Value = model.c_classname;
parameters[1].Value = model.c_isfix;
之前听说这两种写法,有一种更安全,更优化,但是小弟不晓得原理是什么?
希望知道的大虾指点一二,小弟习惯第一种写法!
我习惯用方法2
存储过程并不是绝对安全的,并不能防止SQL注入,但存储过程提高读写数据库的效率是一定的
要想程序安全必须做好数据有效性的验证,指望存储过程一劳永逸那是不可能的