SQL-инъекция в службах Windows?

Question

У меня есть много служб Windows, которые работают только на стороне сервера.Он выполняет несколько операций CRUD над базой данных (MySQL).

Существует клиентское приложение, которое позволяет пользователю загружать файлы через него на сервер.Когда файл загружается на сервер, Window Service выполняет над этим файлом необходимые операции и обновляет данные в базе данных с помощью SQL-запросов.

Клиентское приложение (настольное приложение) -> Файл -> Загрузить на сервер -> Служба WindowsФайл процесса -> Запись в базу данных

Мне было интересно, действительно ли для такой архитектуры требуется параметризованный запрос для предотвращения внедрения SQL?

Answer 1

Работа с параметризованными запросами не только предотвращает внедрение SQL, но и дает другие преимущества (например: Повторное использование плана запроса).

Если вы выполняете операции CRUD, то вы можете использовать ORM (например, EF ) или MicroORM (например, Dapper ), чтобы упростить создание параметризованных операторов.