说来惭愧,工作差不多4年了,直到前些日子被DBA找上门让我优化一个CPU占用很高的复杂SQL语句时,我才突然意识到了参数化查询的重要性。
相信有很多开发者和我一样对于参数化查询认识比较模糊,没有引起足够的重视
错误认识1.不需要防止sql注入的地方无需参数化
参数化查询是为了防止SQL注入用的,其它还有什么用途不知道、也不关心,原则上是能不用参数不用参数,为啥?多麻烦,我只是做公司内部系统不用担心SQL注入风险,使用参数化查询不是给自己找麻烦,简简单单拼SQL,万事OK
错误认识2.参数化查询时是否指定参数类型、参数长度没什么区别
以前也一直都觉的加与不加参数长度