安全性
    考虑使用存储过程的最终原因是它们可用于增强安全性。
　　
    就管理用户对信息的访问而言，通过向用户授予对存储过程（而不是基础表）的访问权限，它们可以提供对特定数据的访问。您可以将存储过程看成是 SQL Server 视图（如果您对它们熟悉的话），除非存储过程接受用户的输入以动态更改显示的数据。 　　
    存储过程还可以帮助您解决代码安全问题。它们可以防止某些类型的 SQL 插入攻击 - 主要是一些使用运算符（如 AND 或 OR）将命令附加到有效输入参数值的攻击。在应用程序受到攻击时，存储过程还可以隐藏业务规则的实现。这对于将此类信息视为知识产权的公司非常重要。
　　
    另外，使用存储过程使您可以使用 ADO.NET 中提供的 SqlParameter 类指定存储过程参数的数据类型。这为验证用户提供的值类型（作为深层次防御性策略的一部分）提供了一个简单方法。在缩小可接受用户输入的范围方面，参数在内联查询中与在存储过程中一样有用。
　　
    使用存储过程增强安全性时值得注意的是，糟糕的安全性或编码做法仍然会使您受到攻击。对 SQL Server 角色创建和分配如果不加注意将导致人们访问到不应看到的数据。同时，如果认为使用存储过程便可防止所有 SQL 插入代码攻击（例如，将数据操作语言 (DML) 附加到输入参数），后果将是一样的。
　　
    另外，无论 T-SQL 位于代码还是位于存储过程中，使用参数进行数据类型验证都不是万无一失的。所有用户提供的数据（尤其是文本数据）在传递到数据库之前都应受到附加的验证。
　　
    存储过程对我是否适用？或许适合吧。让我们概括一下它们的优点：
　　
    • 通过降低网络流量提高性能
    • 提供单点维护
    • 抽象化业务规则，以确保一致性和安全性
    • 通过将某些形式的攻击降至最低，以增强安全性
    • 支持执行计划重复使用
　　
    如果您的环境允许利用存储过程提供的好处（如上所述），强烈建议使用它们。对于改进数据在环境中的处理方式而言，它们提供了一个很好的工具。另一方面，如果您的环境中存在可移植性、大量使用非 T-SQL 友好的进程或者不稳定的数据库架构等削弱这些优点的因素，则您可能要考虑其他方法。
　　
    另一个要注意的事项是机构内部所拥有的 T-SQL 专业人员的数量。您有足够的 T-SQL 知识吗？您愿意学习吗？或者，您有 DBA 或合适的人员帮您编写存储过程吗？掌握的 T-SQL 知识越多，存储过程就会越好，维护它们就会越容易。例如，T-SQL 主要用于基于集合的操作，而不是基于行的操作。依赖于光标（因为它们向您提示数据集）将导致性能降低。如果您不太了解 T-SQL，请将本文作为一次学习机会。无论您将它用在何处，本文介绍的知识都将改善您的代码。
　　
    因此，如果您认为存储过程会为应用程序增添特殊的效果，请继续阅读本文。我们将回顾一些简化存储过程使用的工具，并了解一些创建存储过程的非常好的做法。