SQL注入与Microsoft数据访问应用程序块SQL帮助程序类

时间:2013-03-15 19:54:08

标签: asp.net c#-2.0 sql-injection

我正在使用Microsoft帮助程序类(http://www.sharpdeveloper.net/source/SqlHelper-Source-Code-cs.html

我正在使用此方法在表格中插入数据:

string query = @"INSERT INTO table(col1, col2) Values(@val1, @val2)";
SqlParameter[] param = new SqlParameter[2];
param[0] = new SqlParameter("@val1", "abc");
param[1] = new SqlParameter("@val2", 123);
int rows = SqlHelper.ExecuteNonQuery(DataAccess.ConnectionString, CommandType.Text, query, param);

我想知道使用这种方式存在安全风险,即SQL注入等吗?

1 个答案:

答案 0 :(得分:3)

您发布的代码很好,并且使用SQL命令的所有变量组件的参数,因此它不受SQL注入攻击。