0

我有一些代码,它在使用 Business Connector 时使用 Axapta 对象上的 ExecuteStmt 方法,如下所示:

AxaptaRecord record = (AxaptaRecord)ax.CreateAxaptaRecord("SalesTable");
record.ExecuteStmt("select * from %1 where %1.SalesId == '" + id + "'");
while (record.Found)
{
     // do stuff
}

这工作正常,但它将在一个面向公众的网站上,所以这是访问数据的好方法吗?它对 SQL 注入安全吗?因为我读过这个语句将使用“forcePlaceholders”关键字,因为它不包含连接,所以它将参数化查询?

4

1 回答 1

1

我会说不。这仍然需要 sql 注入。

于 2012-03-20T14:11:08.897 回答