以前一直都是用的拼字符串的方法,我知道这种方法有一个sql注入的问题
而这次开发的是公司内部使用的系统,几乎可以忽略sql注入的问题,而且是c/s的
那,拼字符串还是用参数?
用参数的话,插入,更新和删除都可以很顺利的执行.但是查询,有可能是多条件查询
有的时候是3个条件,而有的时候是1个条件,有这样的不确定性.参数的个数无法确定
如果某个参数传空,大概会造成查询错误.
该怎么弄呢?看了下petshop,还是有些是利用拼字符串的方法.我开始怀疑,我也拼字符串么
------解决方案--------------------------------------------------------
我是做存储过程
然后用 execute 存储过程名 参数名
------解决方案--------------------------------------------------------
你可以这样拼呀
strSql= "select * from employees where 1=1 ";
if(xxxxx)
strSql+= " and employeeID=@empID ";
然后这里给comand加上相应的参数
------解决方案--------------------------------------------------------
多条件查询也可以用存储过程写啊 不怕为空 条件可以用 or
你上网搜搜应该很多