Question

如果我在程序集中实现这样的方法，会被认为是危险的吗？

 public void Execute(string sql)
        {
            using (SqlConnection connection = new SqlConnection("MyConnectionString....."))
            {
                SqlCommand command = new SqlCommand(sql, connection);
                connection.Open();
                command.ExecuteNonQuery();                
            }
        }

Answer 1

如果您传入的sql字符串是动态构建的，并且包含用户输入的串联，则危险。否则通常被认为是不好的做法。存储过程是您最好的选择。

Here is the OWASP article on SQL Injection

public void Execute（string sql）被认为是危险的吗？

1 个答案: