我有一些代码,在使用Business Connector时使用Axapta对象上的ExecuteStmt方法,如下所示:
AxaptaRecord record = (AxaptaRecord)ax.CreateAxaptaRecord("SalesTable");
record.ExecuteStmt("select * from %1 where %1.SalesId == '" + id + "'");
while (record.Found)
{
// do stuff
}
这种方法很好,但是它会在面向公众的网站上进行,所以这是一种访问数据的好方法,它是否可以安全地从SQL注入?因为我已经读过这个语句将使用“forcePlaceholders”关键字,它将参数化查询,因为它不包含连接?
答案 0 :(得分:1)