我遇到了需要使用 LINQ 的 ExecuteCommand 方法来运行插入的情况。
类似的东西(为了这个问题而简化):
object[] oParams = { Guid.NewGuid(), rec.WebMethodID };
TransLogDataContext.ExecuteCommand (
"INSERT INTO dbo.Transaction_Log (ID, WebMethodID) VALUES ({0}, {1})",
oParams);
问题是这是否与参数化查询一样是 SQL 注入证明?