问题描述
我想为您的参数化查询示例提供特定的,也许是规范的示例,是的,这足够了。
但是,人们有时会这样写代码
cmd.CommandText = string.Format("SELECT * FROM {0} WHERE col = @col;", tableName);
cmd.Parameters.Add("@col", ...);
因为根本没有办法将表名本身作为参数传递,并且有时存在执行的愿望- 是否被误导了。似乎然后常常被忽略了,tableName(除非只能从不是从任何输入派生的一组静态/常量值中读取)确实允许sql注入。
解决方法
我知道SQL注入是相当危险的。现在在我的C#代码中,我使用SqlCommandclass组成了参数化查询:
SqlCommand command = ...;
command.CommandText = "SELECT * FROM Jobs WHERE JobId = @JobId;";
command.Parameters.Add("@JobId",SqlDbType.UniqueIdentifier ).Value = actualGuid;
command.ExecuteNonQuery();
这会自动使我的代码不受SQL注入的影响吗?我需要做些额外的事情吗?