有人告诉我,如果在 C# 中使用 SqlCommand 并且要向该命令添加参数,它将增加安全性,因为它可以防止 Sql Injection。我想知道这是不是真的。如果是这样,它如何停止Sql Injection,因为我的理解是在使用参数时,它只是在Sql命令中的某个点插入一个字符串。所以那个字符串可以是任何东西,使 Sql Injection 成为可能,对吗?
问问题
220 次
1 回答
3
这不是一个简单的替换。框架将转义发送值(尤其是字符串),[作为 RPC 调用的单独部分],因此不可能将值作为代码执行。
感谢@PanagiotisKanavos 的更正(6 年后)。
于 2011-10-29T21:46:50.497 回答