【高分】多个不定参数编写存储过程如何防注入
参数有多个，查询的时候可以任意选择，怎么避免存储过程被注入
[解决办法]
1,最好是不要把拼接的sql传到过程中,只要是拼接的就有被注入的可能.
2,写一个函数来处理，把一些特殊的字符替换为中文的字符，显示时把它替换回来，比如把'替换为’
[解决办法]
只要有sql拼接，总有你没有考虑的关键字，或关键条件 如 or 1=1 等
[解决办法]
1：制定一个参数的模版进行拼接sql语句
2：使用exec sp_executesql 使用参数的方式进行执行语句