Question

Мне сказали, что если вы используете SqlCommand в C # и если вы хотите добавить параметры к этой команде, это добавит безопасность, поскольку защитит от внедрения Sql.Мне было интересно, если это действительно так.Если это так, как он может остановить Sql Injection, потому что, насколько я понимаю, при использовании параметров он просто вставляет строку в точку команды Sql.Так что эта строка может быть чем угодно, что делает возможным Sql Injection, верно?

harpo · Answer 1 · 30 октября 2011

Это не простая замена.Фреймворк escape отправит значения (особенно строки) , [как отдельную часть вызова RPC], так что невозможно будет выполнить значение в виде кода.

Спасибо @PanagiotisKanavos за исправление (6 лет спустя).

Разъяснение параметров SqlCommand

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Разъяснение параметров SqlCommand

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы