早晨起来就上博客园，看到好贴的时候就记录下来。

《》原文地址：

主要记下来两点：

1.使用参数化产讯应该彻底，杜绝使用字符串拼接。好处是可以防止SQL注入式攻击。

2.参数化使用的时候应该制定数据类型和数据长度，这样的话，可以减少SQL执行计划任务的次数。但是，以下几个类型，则没有必要指定数据长度：int,bigint,decimal,datetime等定长的值类型。指定类型助于奥是指：varchar，nvarchar,char,nchar等不定长的类型。这里需要注意的是：传值为varchar(max)或者nvarchar(max)时，参数长度指定为-1即可。