Addressing security issues. If you accept user input to perform queries dynamically, do not create a string by concatenating values without using parameters. Also avoid using string concatenation in stored procedures if you are using sp_execute to execute the resulting string, or if you do not take advantage of sp_executesql parameter support.
意思是说如果你的sp接受用户的输入动态进行查询,不要不使用参数来连接values创建一个字符串?
如果使用sp_execute,或者你不使用sp_executesql参数支持???避免在sp里面连接字符串。
意思是说如果你的sp接受用户的输入动态进行查询,不要不使用参数来连接values创建一个字符串?
如果使用sp_execute,或者你不使用sp_executesql参数支持???避免在sp里面连接字符串。
根本没有sp_execute,只有sp_executesql