在日常的数据插入时,需要避免数据脚本注入攻击,所以进行参数化SQL很有必要。
--说明参数 declare @name varchar(10) --参数赋值 set @name='3232' --数据插入 insert into spt_values(name,number,type)values(@name,11,'A')