有人告诉我,如果在C#中使用SqlCommand,并且你要为该命令添加参数,那么它将增加安全性,因为它可以防止Sql注入。我想知道这是否真的如此。如果是这样,它怎么能停止Sql Injection,因为我的理解是,当使用参数时,它只是在Sql命令中的某一点插入一个字符串。所以这个字符串可以是任何东西,使Sql Injection成为可能,对吗?
答案 0 :(得分:3)
这不是一个简单的替代品。框架将转义发送值,(尤其是字符串),[作为RPC调用的一个单独部分],这样就不可能将值作为代码执行
感谢correction的@PanagiotisKanavos(6年后)。