如何打印参数化 SQL 查询?
How to print a parametrized SQL query?
如何在插入参数后获取带有参数化 SQL 查询的字符串?
我认为您假设参数值将被注入 SQL 并且最终发送到服务器的是单个字符串。没有理由必须如此——尽管在某些情况下可能如此。
通常,将参数 与 SQL 一起发送到数据库会更有意义,但有别于它。这样 SQL 引擎要做的工作就更少了(例如,解析已经转换成字符串的数值),客户端要做的工作就更少了,由于故障导致的 SQL 注入攻击的风险也更小完美逃避一切。
如何在插入参数后获取带有参数化 SQL 查询的字符串?
我认为您假设参数值将被注入 SQL 并且最终发送到服务器的是单个字符串。没有理由必须如此——尽管在某些情况下可能如此。
通常,将参数 与 SQL 一起发送到数据库会更有意义,但有别于它。这样 SQL 引擎要做的工作就更少了(例如,解析已经转换成字符串的数值),客户端要做的工作就更少了,由于故障导致的 SQL 注入攻击的风险也更小完美逃避一切。