从SQL注入安全参数插入数据库？

Question

我一直在读一些关于SQL注入的信息，我想确保我的代码可以说是“安全的”，我打算使用RegExp验证器来检查用户输入，但另一篇文章中建议仅使用参数化查询，以及我正在使用它们，但我想确保我的代码安全，是吗？

 using (SqlConnection dataConnection = new SqlConnection(myConnectionString)) 
     { 
      using (SqlCommand dataCommand = dataConnection.CreateCommand()) 
      { 
       dataCommand.CommandText = "INSERT INTO Lines (Name, CreationTime) " + 
        "VALUES (@LineName, @CurrentDateTime)"; 

       dataCommand.Parameters.AddWithValue("@LineName", TextBox2.Text); 
       dataCommand.Parameters.AddWithValue("@CurrentDateTime", DateTime.Now.ToString()); 
       dataConnection.Open(); 
       //do other DB stuff 

我砍的最后一部分，使后较短的，剩下的只是想和捕获异常和关闭数据库连接，以及如何插入成功提供用户反馈。

Answer 1

你的代码很好，它被注入保护，因为值作为参数传递而不是字符串文字。但是，如果您自己编写此类数据访问，是否考虑创建SqlParameter对象并明确设置类型，大小等，并将参数添加到命令中？ AddWithValue可以正常工作，但SQL Server必须确定类型，但有点不必要的开销。

Answer 2

那么，你总是可以尝试在文本框中注入一条SQL语句，这可能会给你一个更快，更确切的答案。

Answer 3

是的，这是相当安全的。只要你以后不使用准备好的语句中的“消毒”变量来生成动态sql，你通常就可以。您使用准备好的语句的事实将处理逃生字符和其他简单的注射方法。

我不会放弃，虽然任何其他验证...