我有以下代码,其中我进行了参数化查询,因为我在某处读到这避免了 SQL 注入。但是在进行此更改后,我仍然遇到 SQL 注入缺陷。
StrCmd = "select TdsSubCode from Rate where TdsCode= @cboTdsCode and DSCode= @cboDedStatus"
dsCmd = New SqlCommand(StrCmd, conTdsPac)
dsCmd.CommandType = CommandType.Text
dsCmd.Parameters.AddWithValue("@cboTdsCode", cboTdsCode.Text)
dsCmd.Parameters.AddWithValue("@cboDedStatus", cboDedStatus.Text)
dsCmd.ExecuteReader()