L'injection SQL est une technique d'injection de code, utilisée pour attaquer des applications pilotées par les données, dans laquelle des instructions SQL malveillantes sont insérées dans un champ d'entrée pour exécution (par exemple pour vider le contenu de la base de données vers l'attaquant).
Puis-je éviter toutes les attaques d'injection SQL en utilisant des paramètres?
Et ne vous inquiétez de rien dans l'injection SQL dans ce cas?
Ou existe-t-il des typ ...
Je peux obtenir le résultat que j'attends en saisissant cela dans Linqpad: const string qry = String.Format("SELECT SiteNum FROM WorkTable WHERE WTName LIKE {0}%", tableName);
...
Je connais des utilisations des paramètres dans des phrases SQL, mais juste pour la curiosité est sans danger pour empêcher la fonction de format pour empêcher les inject ...