我已经阅读了很多关于SQL注入和许多争论为什么你应该避免构建查询动态的东西用明码/串连您cs.file内动态生成的查询和SQL注入和DLL的文件
然而,我有问题,我需要一些比我更有经验的人的建议。
我创建了一些DLL文件,以便在不同的项目中重新使用我的代码,因此我在考虑泛型。
我创建了这些DLL文件,其中包含以动态方式+语句连接构建SQL查询的所有逻辑/代码。之后,我将这些DLL文件作为参考添加到我的项目中。
这将容易受到SQL注入?程序不足(耗时/维护不足)?
任何意见,将不胜感激。
我猜你的问题开始时F.E.表或字段是这样动态的:'string sql =“SELECT”+ sColumns +“FROM”+ sTableName;'?你不能参数化表格名称。建议在这些情况下使用sp_exectutesql。 – Koryu