我們都知道準備好的語句是防止SQL注入攻擊的最佳方法之一。使用「IN」子句創建準備好的語句的最佳方法是什麼?有沒有簡單的方法來做到這一點與未指定數量的值?以下面的查詢爲例。使用SQL參數處理IN子句中的數據?
SELECT ID,Column1,Column2 FROM MyTable WHERE ID IN (1,2,3)
目前我正在使用一個循環來覆蓋我可能的值來構建一個字符串,例如。
SELECT ID,Column1,Column2 FROM MyTable WHERE ID IN (@IDVAL_1,@IDVAL_2,@IDVAL_3)
是否可以使用傳遞數組作爲查詢參數的值並使用查詢如下?
SELECT ID,Column1,Column2 FROM MyTable WHERE ID IN (@IDArray)
在情況下,它是我在與SQL Server 2000的工作,在VB.Net
添加一個SQLServer標記 – MotoWilliams 2008-09-18 14:41:23
一個t-sql標記也可能是合適的。 – 2008-09-18 14:51:09