不用存储过程一样参数传递

用SQLServer的存储过程，一是可以提高访问效率，二是可以杜绝SQL注入攻击。但是如果要在SQLServer里面写入大量的存储过程、数据逻辑、甚至是业务逻辑，这就会给整个系统的移植、修改带来了大量麻烦。那么有什么办法可以既不是用存储过程，又可以杜绝SQL注入攻击呢？答案就是把“存储过程”写在程序里！废话少说，看代码：

SqlConnection con = new SqlConnection(GetConnectionString());
SqlCommand cmd = new SqlCommand("SELECT CategoryName FROM Category WHERE CategoryID=@CategoryID", con);
cmd.Parameters.Add("@CategoryID", SqlDbType.Int,4);
cmd.Parameters["@CategoryID"].Value=CategoryID;
string CategoryName=string.Empty;
try
{
con.Open();
CategoryName = (string)cmd.ExecuteScalar();
}
catch
{
CategoryName = "Error";
}
finally
{
con.Close();
}

这样，我们的SQL语句就不是拼凑出来的，想注入门也没有~
不过还有一个问题，比如说SELECT CategoryName FROM Category中，我想要SELECT的CategoryName也是变量，那该怎么办呢？经过试验，CategoryName不能写成@CategoryName，没有这样的语法，只能CategoryName=@CategoryName，必须有个等号，而这里又不能用等号，该怎么办呢？
有人说，拼凑……的确，任何情况下，拼凑是万能的，但是仍然会有SQL注入的隐患，因为变量不在WHERE子句中，所以安全隐患大大减小。然而，拼凑也是有好、坏方法之分，正解是String.Format()方法，它能替换字符串的N组内容，详细信息请查阅MSDN。