使用VS.NET2003编写存储过程

核心提示： 其次，如果使用不经过输入验证的字符串连接 ("...WHERE ID=" & ID.ToString())，使用VS.NET2003编写存储过程(2)，将可能使您的应用程序暴露在黑客的攻击之下，更重要的是，使用 Visual Studio .NET 2003 直接编辑新

其次，如果使用不经过输入验证的字符串连接 ("...WHERE ID=" & ID.ToString())，将可能使您的应用程序暴露在黑客的攻击之下。更重要的是，这样就会为恶意用户提供了在您的代码中添加其他 SQL 关键字的机会。例如，根据您的输入模式，恶意用户不仅可以输入 13 或 21 作为有效的表 ID，还可以输入 13; DELETE FROM USERS 或其他可能会带来危害的语句。完善的输入验证可以保护您的系统免受大多数 SQL 插入代码的攻击，所以最好将所有内置的 SQL 语句完全删除，使攻击者很难滥用您的应用程序数据。

最后，内置 SQL 语句的执行速度要比存储过程慢得多。创建存储过程并将其存储到数据库中时，SQL Server 会对其文本进行评估并以优化的形式进行存储，从而使之更容易在运行时为 SQL Server 所用。如果使用内置的特殊查询语句，就必须在每次运行该代码之前进行这种评估。对于那些供大量用户使用的应用程序而言，每分钟就可能需要对同一查询语句进行数百次评估。

相反，存储过程可以保持代码的简洁明了，可以提供额外的安全保护，并能提高解决方案的性能。这些都是摒弃内置查询语句而使用存储过程的原因。

将存储过程添加到 Visual Studio .NET 数据库项目中

使用 Visual Studio .NET 2003 创建存储过程非常简单。首先，您需要打开一个数据库项目。这一操作已在《使用VS.NET2003创建数据库图》中完成。然后，您可以使用代码模板创建存储过程，也可以针对 Server Explorer（服务器资源管理器）窗口中连接的数据库，使用 Visual Studio .NET 2003 直接编辑新的存储过程。本文重点介绍如何针对连接的数据库服务器直接编辑存储过程。稍后会介绍如何为以后的远程服务器安装生成所有结果脚本。