一尘不染

使用参数化的SqlCommand是否会使我的程序不受SQL注入的影响?

c#

我知道SQL注入是相当危险的。现在在我的C#代码中,我使用SqlCommandclass组成了参数化查询:

SqlCommand command = ...;
command.CommandText = "SELECT * FROM Jobs WHERE JobId = @JobId;";
command.Parameters.Add("@JobId", SqlDbType.UniqueIdentifier ).Value = actualGuid;
command.ExecuteNonQuery();

这会自动使我的代码不受SQL注入的影响吗?我需要做些额外的事情吗?


阅读 265

收藏
2020-05-19

共1个答案

一尘不染

我想为您的参数化查询示例提供特定的,也许是规范的示例,是的,这足够了。

但是,人们有时会这样写代码

cmd.CommandText = string.Format("SELECT * FROM {0} WHERE col = @col;", tableName);
cmd.Parameters.Add("@col", ...);

因为根本没有办法将表名本身作为参数传递,并且有时存在执行的愿望-
是否被误导了。似乎然后常常被忽略了,tableName(除非只能从不是从任何输入派生的一组静态/常量值中读取)确实允许SQL注入。

2020-05-19