1
我有一個接受的SQL語句,像這樣的功能:檢測參數的DbCommand
Public ExecuteReader(ByVal strSQL As String)
Dim objCommand as New SQLCommand(strSQL)
End Public
以前開發商連接的字符串是這樣的(容易受到SQL注入,我知道):
SELECT * FROM Person WHERE ID = " & intID & "
我現在正在使用SQL參數,例如strSQL現在可能是
SELECT * FROM Person WHERE ID = @ID
我認爲唯一的選擇是讓調用函數添加參數和傳遞參數值ExecuteReader即
Public ExecuteReader(ByVal strSQL As String, ByVal params as dbParameter)
是否有這樣做的更簡單的方法?