我已經閱讀了很多關於SQL注入和許多爭論爲什麼你應該避免構建查詢動態的東西用明碼/串連您cs.file內動態生成的查詢和SQL注入和DLL的文件
然而,我有問題,我需要一些比我更有經驗的人的建議。
我創建了一些DLL文件,以便在不同的項目中重新使用我的代碼,因此我在考慮泛型。
我創建了這些DLL文件,其中包含以動態方式+語句連接構建SQL查詢的所有邏輯/代碼。之後,我將這些DLL文件作爲參考添加到我的項目中。
這將容易受到SQL注入?程序不足(耗時/維護不足)?
任何意見,將不勝感激。
我猜你的問題開始時F.E.表或字段是這樣動態的:'string sql =「SELECT」+ sColumns +「FROM」+ sTableName;'?你不能參數化表格名稱。建議在這些情況下使用sp_exectutesql。 – Koryu