我正在使用Microsoft帮助程序类(http://www.sharpdeveloper.net/source/SqlHelper-Source-Code-cs.html)
我正在使用此方法在表格中插入数据:
string query = @"INSERT INTO table(col1, col2) Values(@val1, @val2)";
SqlParameter[] param = new SqlParameter[2];
param[0] = new SqlParameter("@val1", "abc");
param[1] = new SqlParameter("@val2", 123);
int rows = SqlHelper.ExecuteNonQuery(DataAccess.ConnectionString, CommandType.Text, query, param);
我想知道使用这种方式存在安全风险,即SQL注入等吗?
答案 0 :(得分:3)
您发布的代码很好,并且使用SQL命令的所有变量组件的参数,因此它不受SQL注入攻击。