何种情况下sql语句参数化

       可能很多人遇到过这种情况，自己辛辛苦苦做的网站被黑客轻而易举的通过Sql注入后所攻击，导致整个网站甚至整个服务器的瘫痪。针对这种情况，我们对Sql语句参数化，这样就可以有效的防止Sql注入。

据我所知，Sql语句参数化主要是针对写Sql语句时传入的字符串变量进行参数化。为什么要说是字符串变量呢？因为我们写执行Sql语句的方法时，对于传入的变量的类型都有定义，比如在数据表DT_Catagory中的CatagoryId字段类型是int类型，我们在定义一个通过CatagoryId来调取该条记录的详细信息的方法时，会写成这样：

public int DataTable GetCatagoryInfoById(int categoryId)

{……

}

当我们调用该方法时，需要传入的变量必须是int类型的变量，该方法才能执行，否则，程序会报错，从而执行不了该方法内的代码，也就执行不了里边的Sql语句。

毕竟在写Sql语句时对其进行参数远远没有不进行参数化那样简单。因此能不进行参数化就可以适当的偷个懒J。比如上边的例子里我们在写Sql语句时就可以省去参数化，可以把里边的Sql语句写成这样：

String sql=”select * from DT_Catagory where CategoryId = ” + categoryId;

上边这个只是针对传入的变量是int类型时举了一个简单的例子，对于其他非字符串类型的，比如说bool，自定义枚举类型等等。都可以这样的来偷懒。

以上是我的一些观点,有欠缺的地方,欢迎大家一起来探讨