参数化查询的基础知识

Question

1. 我已经多次使用参数化查询，我知道它有助于防止 SQL 注入。
   但是，我想知道我是否可以知道参数化查询中的基本逻辑是什么
   防止SQL注入可能很简单，但我不知道。我尝试在 google 上搜索它的基本内容，但每次我都找到一个如何在 Asp.net 中使用参数化查询的示例。
2. 我知道要创建一个特殊的类来停止 SQL 注入中使用的那些特殊字符，例如 (',-- 等)，但是仅停止特殊字符是否可以完全防止 SQL 注入？
3. 最后一件事是.net参数化查询可以完全阻止SQL注入吗？

Answer 1

我认为参数化查询不依赖于准备好的查询数据库支持。数据库驱动程序本身以安全的方式传递值，并且如何完成取决于驱动程序本身。

PostgreSQL 手册解释了数据库级别参数化查询的基础知识。

另一方面，参数化查询简化了区域设置敏感数据的传递。
例如，用户输入小数 100,00，但您的服务器需要 100.00 值。

Answer 2

在我知道的每个数据库引擎中，使用“准备好的”（又名“参数化”或“静态”）查询可以防止 SQL 注入。如果将任何字符传递给参数，则无需过滤它们。如果您编写的 SQL 是在代码中连接在一起而不是使用参数准备的，那么您可能面临 SQL 注入的风险。您应该阅读您正在使用的数据库的安全手册，它很可能有关于 SQL 注入的部分，但只需阅读全部内容即可。我打赌这将花费不到一个小时的时间，并且会给您坚实的指导和信心，让您相信您正在遵循适用于您的数据库的最佳实践。