向储存过程传入的参数不是一样用来构造sql语句吗?那位高手知道,请说详细点。
第1个回答 2009-10-20
因为存储过程放在sql数据库中,并不是放在程序里面,放在程序里面的sql语句很可能被注入攻击,然而放在数据库中的sql语句只是通过存储过程名和参数名和程序对应,所以安全,不懂问我!
第2个回答 2009-10-20
1.参数化比直接拼接SQL语句要安全。
2.用视图、存储过程来面向开发人员,可以使用不同角色转有的权限。避免直接接触表。避免了过大的权力,也降低了万一注入后造成的风险。本回答被提问者采纳
2.用视图、存储过程来面向开发人员,可以使用不同角色转有的权限。避免直接接触表。避免了过大的权力,也降低了万一注入后造成的风险。本回答被提问者采纳
