如何從直接SQL保護WinForms應用程序

Question

我有一些用C＃編寫的WinForms應用程序（用於開發一些簡單應用程序的框架）。 我的框架稍後將用於開發勝利形式的應用程序。其他開發人員通常是開發人員，有時不使用參數 - 他們直接在代碼中編寫SQL。所以首先我需要以某種方式在C＃中的框架基類中進行保護。 我有一些basse類，它執行所有的SQL動作，所以我想我可以把這裏一些檢查，執行查詢之前... 我怎麼能得到保護在C＃對直接SQL ..？一些例子會非常有用。

Answer 1

如果你的同事們正在寫出他們的SQL語句，那麼就沒有保證/現實的方法可以防止SQL注入，除非在所有查詢中手動使用參數進行保護。即使在你的框架中提供一個機制也不是一個完美的解決方案，因爲你仍然可以通過忽略它（或忘記使用它）來解決它。

而不是滾動自己的框架，考慮使用ORM，如NHibernate，爲您解決這個問題（你不必大部分時間自己寫SQL語句）。