怎么样写一段高效、安全的sql查询代码‖<table width=18% border=0 cellpadding=0 cellspacing=0><tr><td nowrap class='content'>　　//设置SQL语句 </td></tr></table><table width=18% border=0 cellpadding=0 cellspacing=0> <tr><td nowrap class='content'>　　insertstr="insert in<br>,电脑,-tz21.com

怎么样写一段高效、安全的sql查询代码‖
,post,address) VALUES('"
to userinfo(name,password,em
;
ail,phone,mobile

　　insertstr += this._name.Trim() + "','";

　　insertstr += this._p

assword.Trim() +"','";

　　insertstr += this._email.Trim() +"','";

　　insertstr += this._phone.Trim() +"','";

　　insertstr += this._m

obile.Trim() +"','";

　　insertstr += this._post.Trim() +"','";

　　insertstr += this._address.Trim(

) +"')";

　　1、效率问题

　　首先看看上边这段代码，效率太低了
这么些trim()，完全没有必要。

，这么多的字符串连接本身效率就够低的了，再加上

　　2、正确性问题

　　这段代码太脆弱，一个单引号就可以使整个程序崩溃。

　　3、安全性

　　同上，利用单引号我可以做很多事，比如运行个xp_cmd命令，那你就惨了，呵呵。

　　那么，怎样来写呢，上面这段代码可以改成这样：

　　string strSql = "ins
, @c3,...)"

ert into sometable (c1 , c2

, c3 , ...) values(@c1 , @c2

　　SqlCommand myCommand = new SqlCo

mmand(strSql , myConn)

　　try

　　{

　　myCommand.Parameters

.Add(new SqlParameters("@c1"

, SqlDataType.VarChar , 20)

　　myCommand.Parameters

["@c1"].Value = this._Name ;

　　....

　　//有几个加几个

　　....

　　}

　　catch(...)

　　...

　　这样呢，既可以避免低
非法字符的出现，并且由于

效率的字符串连接，又可以利用
这种parameter方式是预编译的

sqlcommand参数有效性检测来避免
矢摺?br>