摘要:預 防 SQL Injection
(1).程式連線的 SQL 帳號 權限只開啟 [dataread]、[datawrite]
(2).SQL組字串時請使用 .net 內建的組字串參數
SqlCommand command = new SqlCommand(commandText, connection);
command.CommandText="slect * from emp where emp_id=@ID ";
//---------------方 法 1 ---------------------
command.Parameters.Add("@ID", SqlDbType.Int);
command.Parameters["@ID"].Value = customerID;
//---------------方 法 2----------------------
command.Parameters.AddWithValue("@ID", "值");