不用存储过程一样参数传递

用SQLServer的存储过程，一是可以提高访问效率，二是可以杜绝SQL注入攻击。但是如果要在SQLServer里面写入大量的存储过程、数据逻辑、甚至是业务逻辑，这就会给整个系统的移植、修改带来了大量麻烦。那么有什么办法可以既不是用存储过程，又可以杜绝SQL注入攻击呢？答案就是把“存储过程”写在程序里！废话少说，看代码：

SqlConnection con  =   new  SqlConnection(GetConnectionString());
SqlCommand cmd  =   new  SqlCommand( " SELECT CategoryName FROM Category WHERE CategoryID=@CategoryID " , con);
cmd.Parameters.Add( " @CategoryID " , SqlDbType.Int, 4 );
cmd.Parameters[ " @CategoryID " ].Value = CategoryID;
string  CategoryName = string .Empty;
try
{
    con.Open();
    CategoryName  =  ( string )cmd.ExecuteScalar();
}
catch
{
    CategoryName  =   " Error " ;
}
finally
{
    con.Close();
}

这样，我们的SQL语句就不是拼凑出来的，想注入门也没有~
不过还有一个问题，比如说SELECT CategoryName FROM Category中，我想要SELECT的CategoryName也是变量，那该怎么办呢？经过试验，CategoryName不能写成@CategoryName，没有这样的语法，只能CategoryName=@CategoryName，必须有个等号，而这里又不能用等号，该怎么办呢？
有人说，拼凑……的确，任何情况下，拼凑是万能的，但是仍然会有SQL注入的隐患，因为变量不在WHERE子句中，所以安全隐患大大减小。然而，拼凑也是有好、坏方法之分，正解是String.Format()方法，它能替换字符串的N组内容，详细信息请查阅MSDN。