昨天,我和一位开发人员交谈,他提到了一些限制数据库字段插入的内容,比如-- (减号)之类的字符串。非常感谢所有的答案,这是很容易理解的,因为我对这一切有点陌生。更具体地说,我们讨论的是我们正在开发的C# ASP.NET MVC网站,所以里面有一个包含重要信息的复杂的帐户形式,所以我不确定MVC使用Linq与数据库接口是否已经提供了这种保护。所以如果有人能提供一些提示,那就太好了。再次感谢
我知道由于SQL注入问题(以及性能和其他问题),动态SQL查询很糟糕。我也知道参数化查询是为了避免注入问题,我们都知道这一点。但我的委托人还是很固执认为 UserName=UserName.Replace("'","''");
SQL="SELECT * FROM Users where UserNa