都知道 用带参数的 sql语句 ,比起直接拼 字符串安全,能防止 sql注入 。这没错。但是 使用参数的 时候需要给 参数 指明 sqldbtype 和 size长度, 因为不指定,会使数据库 不使用同一个执行计划,而降低效率。
使用下面语句查看执行的查询计划 查看对users 表 的执行计划
SELECT cacheobjtype,objtype,usecounts,sql FROM sys.syscacheobjects WHERE sql LIKE '%Users%' and sql not like '%syscacheobjects%'