字符串拼接SQL在C#中等于埋雷,因用户输入直接拼入SQL会导致语法错误或SQL注入;根本原因是SQL引擎不区分代码与数据,必须用SqlCommand.Parameters参数化查询,而非字符串处理。为什么字符串拼接 SQL 在 C# 里等于埋雷因为用户输入直接进 string.Format 或 + 拼出来的 SQL,数据库就当真实命令执行。一个单引号就能让 WHERE name = 'O'Connor' 直接语法报错;更危险的是 ' OR 1=1 -- 这类注入,可能删库、拖库、越权查数据。根本原因不是 C# 语言问题,而是 SQL 引擎不区分"代码"和"数据"。你拼进去的,它全当 SQL 解析。所有用户可控输入(TextBox.Text、Request.QueryString、Model.Id)都不能直接拼进 SQL 字符串即使加了 SqlHelper.Escape 类的自定义转义函数也不安全------不同数据库转义规则不同,且容易漏掉边界情况SqlCommand.CommandText 只接受原始 SQL 字符串,它本身不校验内容;安全靠的是参数化机制,不是字符串处理C# 中必须用 SqlCommand.Parameters.Add 的三种写法参数化查询的核心是把值和 SQL 结构分开:SQL 里只留占位符,值通过 Parameters 集合传入。数据库驱动层负责把值安全地绑定过去,自动处理引号、类型转换、编码等。推荐写法:cmd.Parameters.AddWithValue("@name", userName) ------ 简单场景够用,但注意类型推断不准(比如传 null 会推成 Object,可能触发隐式转换失败)更稳写法:cmd.Parameters.Add("@age", SqlDbType.Int).Value = userAge ------ 显式指定 SQL 类型,避免因 .NET 类型映射偏差导致查询计划缓存失效或比较异常批量插入时别用 AddWithValue 循环:同一参数名重复添加会抛 ArgumentException;应改用 cmd.Parameters.Clear() 或为每个参数用唯一名称(如 @name1, @name2)示例:var cmd = new SqlCommand("SELECT * FROM Users WHERE Status = @status AND CreatedAt > @since", conn);cmd.Parameters.Add("@status", SqlDbType.VarChar, 20).Value = "active";cmd.Parameters.Add("@since", SqlDbType.DateTime2).Value = DateTime.UtcNow.AddDays(-7);Where 条件动态拼接时怎么保参数化不能因为"条件不确定"就退回到字符串拼接。动态 SQL 一样能参数化,关键是把占位符和参数添加逻辑对齐。 文心快码 文心快码(Comate)是百度推出的一款AI辅助编程工具
相关推荐
金銀銅鐵3 小时前
[Python] 基于欧几里得算法,实现分数约分计算器Lyn_Li5 小时前
Kaggle Top 5 | 198只股票、200条数据的金融预测——BattleFin高分方案从零复现小九九的爸爸9 小时前
前端想要入门Agent开发,要具备哪些Python基础?阿耶同学10 小时前
手把手教你用 LangGraph 搭建三层嵌套 Agent 架构jiayou6411 小时前
KingbaseES 表级与列级加密完全指南花酒锄作田1 天前
Pydantic校验配置文件hboot1 天前
AI工程师第四课 - 深度学习入门GBASE1 天前
G术时刻 |GBase 8s数据库事务并发控制之封锁技术介绍(下)ZhengEnCi2 天前
P2M-Matplotlib折线图完全指南-从数据可视化到趋势分析的Python绘图利器ZhengEnCi2 天前
P2L-Matplotlib饼图完全指南-从数据可视化到图表定制的Python绘图利器