如何从直接SQL保护WinForms应用程序

Question

我有一些用C＃编写的WinForms应用程序（用于开发一些简单应用程序的框架）。 我的框架稍后将用于开发胜利形式的应用程序。其他开发人员通常是开发人员，有时不使用参数 - 他们直接在代码中编写SQL。所以首先我需要以某种方式在C＃中的框架基类中进行保护。 我有一些basse类，它执行所有的SQL动作，所以我想我可以把这里一些检查，执行查询之前... 我怎么能得到保护在C＃对直接SQL ..？一些例子会非常有用。

Answer 1

如果你的同事们正在写出他们的SQL语句，那么就没有保证/现实的方法可以防止SQL注入，除非在所有查询中手动使用参数进行保护。即使在你的框架中提供一个机制也不是一个完美的解决方案，因为你仍然可以通过忽略它（或忘记使用它）来解决它。

而不是滚动自己的框架，考虑使用ORM，如NHibernate，为您解决这个问题（你不必大部分时间自己写SQL语句）。