所以我最近了解到我绝对应该使用参数化查询来避免sql注入等安全问题.这一切都很好,所有,我得到它的工作.
param1 = new sqlParameter(); param1.ParameterName = "@username"; param1.Value = username.Text; cmd = new sqlCommand(str,sqlConn); cmd.Parameters.Add(param1); //and so on
但问题是,我有超过14个需要保存到数据库的变量,它就像一个注册表单.如果我必须将这些行写入14次以参数化每个变量,它看起来会非常混乱.有没有更有活力的方法呢?就像使用for循环或其他东西并以某种方式参数化循环中的每个变量一样?
