INSERT
の値をdb-syntaxに直接挿入することは、許容されない理由を完全に理解することができます。 SQLインジェクションを防止したい。それはまだ大きなは何としても、次のやっていない理由しかし、私は理解していない:パラメータを使用せずにC#
cmd.CommandText = "SELECT * FROM [Students]
WHERE StudentID = " + studentID + ";";
int getID = (int)cmd.ExecuteScalar();
だけSELECT
はINGのことで害は何ですか?私は実際には以下のパラメータのポイントを理解していない。私はそれに疑問を呈していない、私はちょうどパラメータが必要である理由と私が上のコードから得ることができる結果が以下のオプションを使用する代わりに知りたい。
var pStudentID = new SqlParameter("@studentID", SqlDbType.Int);
pStudentID.Value = studentID;
cmd.Parameters.Add(pStudentID);
[Little Bobby Tables](http://bobby-tables.com/)に会っていないようです。 – HABO