EF作為一個orm框架,本身以及放置了sql的注入,但是如果我們需要執行sql語句的時候了?比如,我們需要查詢視圖"select * from VM where 條件 = {0}",此時,sql是可以注入的
那么,我們該如何防止注入呢?在論壇找到一個方法,收藏下,哈哈
function bool SS(string no)
{
try{
string sql = "select count(*) from Students where StudentNo=@No";
var args = new DbParameter[] {
new SqlParameter { ParameterName = "NO", Value = no},
};
return DataContext.SqlQuery<int>(sql, args).FirstOrDefault() > 0;
}
catch(Exception ex)
{。。。。}
}