我认为初始代码很好:
SqlCommand param = new SqlCommand();
SqlGeometry point = SqlGeometry.Point(center_lat,center_lng,0);
SqlGeometry poly = SqlGeometry.STPolyFromText(new SqlChars(new SqlString(polygon)),0);
param.CommandText = "INSERT INTO Circle (Center_Point, Circle_Data) VALUES (@point,@poly);";
param.Parameters.Add(new SqlParameter("@point", SqlDbType.Udt));
param.Parameters.Add(new SqlParameter("@poly", SqlDbType.Udt));
param.Parameters["@point"].UdtTypeName = "geometry";
param.Parameters["@poly"].UdtTypeName = "geometry";
param.Parameters["@point"].Value = point;
param.Parameters["@poly"].Value = poly;
但是我意识到创建polygon字符串时可能会出现问题。
在javascript中 - 我这样创建:
var Circle_Data = "POLYGON ((";
for (var x = 0; x < pointsToSql.length; x++) { // formatting = 0 0, 150 0, 150 50 etc
if (x == 360) { Circle_Data += pointsToSql[x].lat.toString() + " " + pointsToSql[x].lng.toString() + "))"; }
else { Circle_Data += pointsToSql[x].lat.toString() + " " + pointsToSql[x].lng.toString() + ","; }
}
然后传递给C#。这样安全吗?即使在查询中发生了参数化?
答案 0 :(得分:6)
使用参数,您将从SQL注入中保存,如果在POLYGON字符串中注入了一些SQL,它将在SQL Server端错误输出。
例如,如果你有:
POLYGON(12.33 12.55,13.55; DROP TABLE students;)
SQL Server将尝试基于传递的字符串构造几何类型,并且它将无法执行此操作。