解决方法
在sql Server 2008及更高版本中它不那么常见,但它仍然存在.它归结为执行计划缓存和sql Server能够自动参数化发送的查询.当使用存储过程(其中没有动态sql)时,查询已经参数化,因此sql Server没有由于计划已存储在计划缓存中,因此需要在每个查询运行时生成计划.
并且不要忘记在使用存储过程时会消失的安全问题(动态sql,最小权限等).
当应用程序对基表使用动态sql来选择,插入,更新和删除表中的数据时,应用程序需要直接拥有所有这些对象的权限.因此,如果有人使用sql Injection进入服务器,他们将有权查询,更改或删除这些表中的所有数据.
如果使用存储过程,则只有执行存储过程的权限才能获取存储过程将返回的信息.他们需要找出可以用来删除数据的程序,然后弄清楚如何使用这个程序来代替发出快速删除语句并将所有内容都删掉.
