0

Microsoft ヘルパー クラス ( http://www.sharpdeveloper.net/source/SqlHelper-Source-Code-cs.html )を使用しています。

このメソッドを使用して、テーブルにデータを挿入しています:

string query = @"INSERT INTO table(col1, col2) Values(@val1, @val2)";
SqlParameter[] param = new SqlParameter[2];
param[0] = new SqlParameter("@val1", "abc");
param[1] = new SqlParameter("@val2", 123);
int rows = SqlHelper.ExecuteNonQuery(DataAccess.ConnectionString, CommandType.Text, query, param);

この方法を使用すると、SQL インジェクションなどのセキュリティ上のリスクがあるかどうかを知りたいですか?

4

1 に答える 1

3

投稿したコードは問題なく、SQL コマンドのすべての変数コンポーネントにパラメーターを使用しているため、SQL インジェクション攻撃の影響を受けません。

于 2013-03-15T19:55:15.947 に答える