准备好的语句和存储过程一起使用

Question

我正处于基于 Microsoft ASP.NET / SQL Server 2008 的 Web 应用程序的规划阶段，在考虑数据库设计时，我开始考虑注入攻击以及应该采用哪些策略来减轻数据库作为注入攻击的载体。

我从各种来源听说使用存储过程可以提高安全性，我还了解到，如果它们仍然与动态 SQL 一起使用，它们同样具有传染性，因为这会带来注入点

问题

是否可以在存储过程中使用参数化查询？我的想法是，如果我将存储过程的参数传递到准备好的语句中，数据库引擎将为我清理这些参数。

Answer 1

是的，您可以在存储过程中传递参数化查询。
但它认为它不会在程序中使用执行计划
据我所知，工作速度很慢。