c# – 何时担心SQL注入保护

概述小背景：我是这家公司唯一的程序员.我正在使用预先存在的框架. 也就是说,该公司有一个DLL(Database.dll),其中包含“我需要的所有数据库交互”.在,它有一个Query(),Update(),Insert()等.现在,我正在编写的项目设置对Database.dll的引用.我的项目接受零用户输入.与用户输入最接近的是用户可以从中选择日期的下拉框.没有太多的经验,我很好奇我是否还需要担心SQ 小背景：我是这家公司唯一的程序员.我正在使用预先存在的框架.

也就是说,该公司有一个DLL(Database.dll),其中包含“我需要的所有数据库交互”.在,它有一个query(),Update(),Insert()等.现在,我正在编写的项目设置对Database.dll的引用.我的项目接受零用户输入.与用户输入最接近的是用户可以从中选择日期的下拉框.没有太多的经验,我很好奇我是否还需要担心sql注入？如果是这样,那么查询会写得像

var query = string.Format("SELECT timestamp FROM table1 WHERE date = \"{0}\"                            AND measured_dist = bit_loc AND rop > 0",Date))

足够作为参数化查询？请记住,所有查询执行都由预先存在的query()处理,我告诉我必须使用它,并且无法编辑.

编辑

该程序是一个WinForm应用程序.

解决方法 如评论中所述,答案是“永远”.因为将参数添加到那个并且正确地执行它而不是连接是如此容易：只是第一次正确执行.另外：你认为注射不是你所展示的代码中唯一的问题吗？该代码也易受本地化/国际化的影响.对于在不同文化中配置PC的用户会发生什么？日期和数字将以不同的方式呈现 – 并且经常会破坏.参数不会发生这种情况.另外：名字经常有撇号:) 总结

以上是内存溢出为你收集整理的c# – 何时担心SQL注入保护全部内容，希望文章能够帮你解决c# – 何时担心SQL注入保护所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错，欢迎将内存溢出网站推荐给程序员好友。