即使是自己写ORM,也要通过DbParameter才能避免sql注入漏洞对不?
通过自己写的ORM,在生成sql语句的时候,如果仍然使用字符串拼接的方式,sql注入漏洞还是会存在的对不?
必须要通过DbParameter来传递参数才能避免吗?
RISEBY浏览 831回答 2
2回答
-
慕勒3428872
是的..也就是拼接成参数化查询的sql 语句... 自然就需要DbParameter 来传递参数.. -
精慕HU
只要是有拼接SQL查询语句的地方,都有可能导致...
随时随地看视频慕课网APP
.NET