就SQL注入而言,我理解为什么参数化字符串参数很重要。但是,在处理一个主要针对内部使用而非外部影响的公司的数据库相关软件时,不接受参数化命令是否可接受或合理?
答案 0 :(得分:3)
就像我经常说的那样,you need it not for Bobby Tables but for Sarah O'Hara。它是语法正确的SQL查询首先从准备好的语句中获得的内容,而保护只是副作用。它是重要的目的地。您必须记住数据进入的SQL查询。虽然数据源应该考虑最后一件事。
此外,我没有看到讨价还价的重点。你在这里为自己买什么?参数 对你来说难吗?好吧,责怪你正在使用的图书馆。正确实现参数化查询是运行查询的最简单方式。