1
A
回答
1
爲了安全起見,是的。即使您確定當前的值現在是絕對安全的,您是否可以確保在未來的某個日期,其他人不會進行更改,或者爲了不同的目的而使用相同的查詢?
0
如果沒有其他原因,我喜歡代碼是乾淨的。有幾種查詢理論上可以在沒有參數化的情況下安全運行,但是構建字符串非常醜陋,而且難以理解的代碼在需要維護時很難理解。
在C#中,例如(在這種情況下,PL/SQL查詢)
String query = @"SELECT thing, stuff
FROM table_of_things
WHERE thing = :thing
OR stuff = :stuff";
相關問題
- 1. 文本輸入的參數化查詢
- 2. 參數化查詢/沒有/使用查詢
- 3. 插入參數化查詢
- 4. MYSQL查詢返回多個用戶輸入參數的行數
- 5. 是否有幫助方法參數化sql查詢輸入?
- 6. 參數化的MySql插入查詢沒有正確的參數值
- 7. 有關參數化查詢
- 8. 參數化查詢是否有輸出參數?
- 9. 如何提示輸入SQL查詢用戶輸入的參數在Access 2010
- 10. 用戶輸入查詢參數在Visual Studio中
- 11. 基於輸入參數的查詢表
- 12. MS SQL函數 - 查詢條件參數變化輸入
- 13. 使用參數化查詢檢查重複的用戶名
- 14. Spring SimpleJdbcCall調用沒有輸入參數但輸出參數爲
- 15. 參數化查詢
- 16. 參數化查詢
- 17. 參數化查詢
- 18. 有沒有辦法讓查詢尊重輸入參數的順序?
- 19. 混合參數化查詢和插入
- 20. .NET參數化查詢注入
- 21. 與輸入參數查詢XML
- 22. 訪問查詢:輸入參數值
- 23. 獲取參數輸入Excel中查詢
- 24. 我應該將輸入清理爲參數化查詢嗎?
- 25. 輸入消毒和參數化查詢是否互斥?
- 26. 有沒有辦法在linq查詢中參數化方法?
- 27. 沒有準備好的語句或參數化查詢的SQL注入
- 28. ColdFusion的參數化查詢
- 29. 沒有輸入參數的Web服務
- 30. MATLAB沒有足夠的輸入參數
如果你有一個完全靜態的一塊SQL的,沒有必要爲一個參數化查詢。只要SQL查詢的某些部分(例如字符串或數字文字)可能會發生變化(不管這是由於用戶輸入還是由隨機數字生成器引起的),使用參數化查詢可能是有意義的。 – stakx
也許明天這個變量_is_用戶輸入。此外,sql參數還可以防止其他問題,如數據類型轉換或本地化問題。使用參數通常也更高效。 –