SqlCommand参数说明
本文关键字:说明 参数 SqlCommand | 更新日期: 2023-09-27 18:12:50
我被告知,如果在c#中使用SqlCommand,如果你要向该命令添加参数,它将增加安全性,因为它将防止Sql注入。我想知道这是不是真的。如果是这样,它如何阻止Sql注入,因为我的理解是,当使用参数时,它只是在Sql命令的某个点插入一个字符串。所以这个字符串可以是任何东西,使Sql注入可能,对吗?
这不是一个简单的替换。框架将转义发送值(特别是字符串),[作为RPC调用的单独部分],因此不可能将值作为代码执行。
感谢@PanagiotisKanavos的更正(6年后)