使用Parameter和字符串的优劣
请问一下大虾们，使用parameter除了比字符串拼接的方式安全以外还有什么优点？？ sqlserver
[解决办法]
主要是防止sql注入。
[解决办法]
使用Parameter更方便，更安全，更标准化
[解决办法]
使用参数化的存储过程更好，不建议在程序里写 SQL。
[解决办法]

引用:

Quote: 引用:

Quote: 引用:

当然了，拼接字符串也更容易出错，也不容易阅读。

么得了？感觉有时间用程序生产拼接字符串更方便一点

还有个问题问下啊，，
我有个方法
public string BuilderCreateCmdText(UserInfoEntity entity, System.Data.IDataParameterCollection parameters)
我的第二个参数怎么实例化传入啊。。IDataParameterCollection没有的子类没有构造函数。。。求解

只是一个接口，肯定没有构造函数了。你可以根据数据库类型生成相应的实像，如SQLDataParameterCollection
[解决办法]
使用参数更可控，代码复用性更高。