使用参数化的SqlCommand是否会使我的程序不受SQL注入的影响？

使用参数化的SqlCommand是否会使我的程序不受SQL注入的影响？

我想为您的参数化查询示例提供特定的，也许是规范的示例，是的，这足够了。

但是，人们有时会这样写代码

cmd.CommandText = string.Format("SELECt * FROM {0} WHERe col = @col;", tableName);cmd.Parameters.Add("@col", ...);

因为根本没有办法将表名本身作为参数传递，并且有时存在执行的愿望-
是否被误导了。似乎然后常常被忽略了，tableName（除非只能从不是从任何输入派生的一组静态/常量值中读取）确实允许SQL注入。