MyException - 我的异常网
当前位置:我的异常网» ASP.NET » 条件查询时参数的有关问题

条件查询时参数的有关问题

www.MyException.Cn  网友分享于:2013-12-25  浏览:8次
条件查询时参数的问题
有多个条件组合查询时如果使用拼写Sql语句方法存在安全的漏洞,

那么改为存储过程方式,就是将拼写好的SQL当成一个参数,这样似乎也不太合适,

还是使用参数方式的话那么组合呢,如

查询条件:title,flag,date,dept

如果是拼SQL可以很简单的:

if   title   !=   " "
      sql   +=   "and   title   =   ' "   +   title   +   " ' ";

if   flag   !=   " "   .............

现在就是问大家,如果改为参数方式时,怎么办呢


------解决方案--------------------
if title != " "
{
sql += "and title = @title;
//这里加参数
cmd.addPara....()
}

文章评论

软件开发程序错误异常ExceptionCopyright © 2009-2015 MyException 版权所有