大家先来看一下这两段代码有什么区别?
Dim strText As String = "update Card set Line=enCard.Line where CID=enCard.CID " 'sql语句
Dim strText As String = "update Card set Line=@Line where CID=@CID " 'sql语句
Dim Parameter As SqlParameter()
'传参
Parameter = {New SqlParameter("@CID", enCard.CID),
New SqlParameter("@Line", enCard.Line)}
前者没采用SqlParameter,那么当输入的Sql语句出现歧义时,如字符串中含有单引号,程序就会发生错误,并且他人可以轻易地通过拼接Sql语句来进行注入攻击。这一点相信我们大家在机房收费系统1.0时就深有体会。
除了存在安全性问题,该方法还无法解决二进制流的更新,如图片文件。
那么通过使用SqlParameter可以解决上述问题,后者便是使用SqlParameter的方法(仅供参考)。