Как защитить приложение WinForms от direct-SQL

Question

У меня есть приложение WinForms (Framework для разработки простых приложений), написанное на C #. Позже мой фреймворк будет использоваться для разработки приложений для форм win. Другие разработчики часто являются новичками и иногда не используют параметры - они пишут прямой SQL в коде. Итак, сначала мне нужно как-то сделать защиту в моих базовых классах фреймворка в C #. У меня есть некоторый класс basse, который выполняет все действия SQL, поэтому я думаю, что могу поставить здесь некоторую проверку перед выполнением запросов ... Как я могу получить защиту в C # от прямого SQL ..? Некоторые примеры будут очень полезны.

Answer 1

Если ваши коллеги пишут свои операторы SQL, нет никакого гарантированного / реалистичного способа защиты от внедрения SQL, кроме как защитить его вручную, используя параметры во всех запросах. Даже предоставление механизма в вашей среде не является идеальным решением, поскольку вы все равно можете обойти его, просто проигнорировав его (или забыв использовать его).

Вместо того, чтобы использовать собственную платформу, рассмотрите возможность использования ORM, такого как NHibernate , который позаботится об этой проблеме для вас (и вам не придется писать операторы SQL большую часть времени).