哪个更好的方法来停止sql注入

Question

我有数据库功能，它选择不同的条件数据。有两种可能的方法来实现这一点。 首先

public string select(string name) 
    { 
     string s = null; 
     query = "select * from tablename where name=@name"; 
     con.Open(); 
     com=new SqlCeCommand(query,con); 
     com.Parameters.AddWithValue("@name",name); 
     sdr=com.ExecuteReader(); 
     while (sdr.Read()) 
     { 
      s = sdr.GetString(0); 
     } 
     return s; 
    } 

在这种方法中，我需要在查询，如订单的地名或在查询多个参数变化小的，地址，前20名等代码的不同功能，但这种方法固定在sql注入方面。 二

public string select(string query) 
    { 
     string s = null; 
     con.Open(); 
     com=new SqlCeCommand(query,con); 
     sdr=com.ExecuteReader(); 
     while (sdr.Read()) 
     { 
      s = sdr.GetString(0); 
     } 
     return s; 
    } 

在第二种方法我通过数据库查询与值函数的参数，所以我不需要com.Parameters.AddWithValue("@name",name);，并不需要为选择查询的变化代码的不同功能。查询中的参数值由代码而不是由用户给出。由于用户未给出参数输入，因此可以使用此方法进行sql注入。

哪一个是安全的，高效的，因为我的应用程序无法承受数据丢失。

Answer 1

您是否考虑过使用Linq进行SQL或EDM？使用这些对象意味着你的代码（理论上）是免于SQL注入攻击的。

Answer 2

由于用户没有给出参数输入 ，所以在此方法中是否可以执行sql注入。

只要你的用户没有与数据库进行交互，谁会尝试在你的参数中注入SQL。

一般来说，只要您在查询中使用参数，您就可以安全使用SQL注入。

Answer 3

主要防御：

选项＃1：使用准备的语句（参数化查询）

选项＃2：使用存储过程

选项＃3：逸出所有用户提供的输入

额外防御：

另外强制：最低特权

还执行：白名单输入验证

来源www.owasp.org