Sky 的专栏

先站在应用程序的角度说说它们的不同。1、 直接拼SQL就像大家了解的那样，直接拼SQL带来了SQL注入攻击，带来了拼时些许的性能损失，但是拼不用添加SqlParameter，会少写很多代码——很多人喜欢直接拼，也许就因为这点。这种做法会把你拼好的SQL原样直接发送到DB服务器去执行。（注意类似”exec yourproc ‘param1’, 12”的语句不在此范畴，这是调用存储过程的一种方

SQL注入漏洞曾经是Web应用程序的噩梦，CMS、BBS、Blog无一不曾受其害。SQL注入的原理以往在Web应用程序访问数据库时一般是采取拼接字符串的形式，比如登录的时候就是根据用户名和密码去查询：string sql = "SELECT TOP 1 * FROM [User] WHERE UserName = '" + userName + "' AND Password = '"

http://anfirst.cn/archives/1030方法 bindParam() 和 bindValue() 非常相似。唯一的区别就是前者使用一个PHP变量绑定参数，而后者使用一个值。所以使用bindParam是第二个参数只能用变量名，而不能用变量值，而bindValue至可以使用具体值。view sourceprint?01    $stm = $pdo

SQL注入的原理以往在Web应用程序访问数据库时一般是采取拼接字符串的形式，比如登录的时候就是根据用户名和密码去查询：string sql = "SELECT TOP 1 * FROM [User] WHERE UserName = '" + userName + "' AND Password = '" + password + "'";其中userName和pass