C#でSqlCommandを使用し、そのコマンドにパラメーターを追加すると、SQLインジェクションから保護されるため、セキュリティが強化されると言われました。これが本当なのかと思っていました。もしそうなら、パラメータを使用するとき、SQLコマンドのあるポイントに文字列を挿入するだけであると私は理解しているので、SQLインジェクションをどのように停止できますか。その文字列は何でもかまいませんが、SQLインジェクションが可能になりますよね?
1 に答える
3
単純な交換ではありません。フレームワークは、値(特に文字列)を[RPC呼び出しの個別の部分として]エスケープ送信するため、値をコードとして実行することはできません。
訂正してくれた@PanagiotisKanavosに感謝します(6年後)。
于 2011-10-29T21:46:50.497 に答える