27、SQL 查询与存储过程的深入解析

SQL 查询与存储过程的深入解析

1. 非参数化查询

在 SQL 查询中，为了限制查询返回的行数，常常需要为 Where 子句提供一个或多个输入参数。非参数化查询是一种实现方式，它在最终用户提供必要的输入参数后，在代码后端以编程方式构建。具体来说，非参数化查询是在运行时通过将 SQL 调用的 Where 子句与最终用户提供的任何输入进行拼接来构建的。

1.1 安全风险

非参数化查询存在严重的安全问题，容易受到 SQL 注入攻击。尽管如此，我们仍对其进行讨论，原因有二：一是有助于说明非参数化查询和参数化查询之间的区别；二是帮助我们在现有代码中识别非参数化查询，从而纠正潜在的安全风险。

1.2 示例：验证员工登录凭据

以下是一个非参数化查询的示例，用于验证员工的登录凭据：

<asp:Label runat="server" Text="Employee Login" />
<asp:TextBox runat="server" ID="txtEmailAddress" MaxLength="50" Width="250px" />
<asp:TextBox runat="server" ID="txtPassword" MaxLength="20" TextMode="Password" Width="250px" />
<asp:Button runat="server" ID="btnLogin" OnClick="btnLogin_Click" Text