При использовании подготовленного оператора с классическим ASP, такого как:
SQL = "SELECT user_name, user_sign_up_date FROM tbl_users WHERE this = ? AND id = ? "
Set stmt01 = Server.CreateObject("ADODB.Command")
stmt01.ActiveConnection = oConn
stmt01.Prepared = true
stmt01.commandtext = SQL
stmt01.Parameters.Append stmt01.CreateParameter("@x1", adVarChar, adParamInput, 255, card_pwd)
stmt01.Parameters.Append stmt01.CreateParameter("@x2", adInteger, adParamInput, , this_id)
set myRS = stmt01.Execute
Помимо обычной проверки смысла, например, для проверки того, что число является числом, и т. Д., Выполняет ли процесс использованияэтот тип параметризованного оператора означает, что мне больше не нужно беспокоиться, например, о varchar или текстовом поле, о санитарной обработке данных, вводимых пользователями - например, мне больше не нужно использовать функцию, чтобы протолкнуть все вводимые пользователем данные через Server.HTMLencode?
Я не уверен, означает ли маршрут параметризованного оператора, что я могу быть менее строгим. очистить пользовательские данные сейчас?