0

我正在使用 Microsoft 助手类(http://www.sharpdeveloper.net/source/SqlHelper-Source-Code-cs.html

我正在使用这种方法在表中插入数据:

string query = @"INSERT INTO table(col1, col2) Values(@val1, @val2)";
SqlParameter[] param = new SqlParameter[2];
param[0] = new SqlParameter("@val1", "abc");
param[1] = new SqlParameter("@val2", 123);
int rows = SqlHelper.ExecuteNonQuery(DataAccess.ConnectionString, CommandType.Text, query, param);

我想知道使用这种方式(即 SQL 注入等)是否存在任何安全风险?

4

1 回答 1

3

您发布的代码很好,并为您的 SQL 命令的所有变量组件使用参数,因此它不受 SQL 注入攻击。

于 2013-03-15T19:55:15.947 回答