在网上看了下。有人说 使用存储过程。或者参数可以防止sql注入 但是有人说又不可以。哪位高手能帮忙看看应该怎么处理。给个具体实例
在存储过程中拼接字符的话还是有可能被注入的。
主要是参数化的过程,你也可以在查询中将用户数据参数化。
尽一切手段不使用sql字串拼接,或使用前严格检查类型过滤敏感字符。
或使用Linq。