Если мне нужно вставить данные в таблицу, использование SqlParameter - лучший выбор. Но я слышал, что кто-то сказал, что SqlParameter все еще имеет некоторые недостатки в SQL-инъекции. Доказательство связывается с строкой sql и работает командой exec. В этом случае в SQL-инъекции все еще есть некоторые риски.Использование SqlParameter может полностью исключить инъекцию sql?
Но мой вопрос в том, что если я использую SqlParameter только для вставки данных в таблицу без команды exec, у меня все еще есть риски в SQL-инъекции?
У вас может быть информация в этом разделе. Вопрос, похоже, тот же: http://stackoverflow.com/questions/306668/are-parameters-really-enough-to-prevent-sql-injections –
как вы делитесь кодом, и я постараюсь добавить несколько SQL к нему –