Tag: 参数化查询

当参数不是string时,是否安全地参数化SQL查询?

在SQL注入方面 ,我完全理解参数化string参数的必要性; 这是这本书中最古老的技巧之一。 但是,什么时候可以certificate不参数化一个SqlCommand呢? 任何数据types被认为是“安全的”,不参数化? 例如:我不认为自己在SQL专家附近的任何地方,但我不能想到任何情况下,它可能容易受到SQL注入接受一个bool或一个int ,只是连接到查询。 我的假设是正确的,还是可能在我的程序中留下一个巨大的安全漏洞? 为了澄清,这个问题被标记为C# ,这是一个强types的语言; 当我说“参数”,想像像 public int Query(int id) 。