没有存储过程的参数化查询？

Question

我见过的每个示例都使用存储过程。 我采用了一个用经典 ASP 编写的旧应用程序，该应用程序使用内联 SQL。 这是一个明显的问题，所以我需要将其转换为更安全的代码。 客户端不希望我在此应用程序中使用存储过程，那么有没有办法在没有存储过程的情况下运行参数化查询？

谢谢

Answer 1

就在这里。 看一下其中一些示例：

http ://www.securestate.blogspot.com/2008/09/classic-asp-sql-injection-prevention_30.html
http://www.userFriendlythinking.com/博客/BlogDetail.asp?p1=7013&p2=119&p7=3001

Answer 2

客户端有什么理由不想使用存储过程吗？ 在数据库级别以及源代码中使用存储过程要容易得多。 如果您使用上面的第二种方法，您应该在内联查询上获得查询计划缓存，但根据您正在做的事情，如果您可以说服您的客户可以使用它们，那么使用简单的存储过程可能会更好。 如果其他一切都失败了，上面的链接非常可靠，尤其是第二个。