ASP.NET MVC：简单的 SQL 注入安全性

Question

我正在开发一个 ASP.NET MVC 3 应用程序，需要一种解决 SQL 注入的方法，一些简单的方法会很有用。我已经关注了微软关于此事的文章，但它似乎与我的代码和结构不匹配。

非常感谢任何帮助

Answer 1

防止sql注入：

不要形成任何动态sql。

1. 使用存储过程（并且不要在存储过程中包含任何动态 sql - 如果您确保使用 sp_executesql 而不是 exec，因为 sp_executesql 可以采用参数化查询
2. 使用参数化查询
3. 使用 ORM（例如实体框架），该 ORM 使用参数化 在幕后使用任何动态 sql - 如果出于某种原因必须使用，请确保使用参数化查询

无论如何，尽量不要

不要只是简单地使用动态 sql 并从中删除引号 - 假设有点危险 。正如某些人所做的那样，这将是唯一的攻击媒介。