我是Dapper.net&的新手。微观ORM。
它们似乎经常与存储过程一起使用。是否仍然需要使用存储过程(而不是直接将SQL查询写入DAL)以防止SQL注入攻击。
表现还好多了?
使用Dapper& amp;的最佳做法是什么?其他微观ORM - 存储过程或不存储过程?
答案 0 :(得分:0)
不,存储过程不需要防止注入 - 您只需要在直接查询中正确使用参数,它们也同样安全。
SP 的性能可以更好,但我经常发现它们更糟糕,更糟糕 - 这没有任何意义,但google'参数嗅探'你会通常情况下,查询优化器通常会尝试使用SP过于聪明并最终运行得更慢 - 这方面有解决办法,但是越来越多我尽可能使用直接SQL,并且仅在使用SP时补充SP必要的 - 这种情况很少见。