虽然我当然可以看到使用参数进行SQL查询的优势,特别是在处理日期时间等事情时,我仍然不确定参数是防止SQL注入的唯一方法.
事实是,我继承了一个应用程序,它有类似的东西
"SELECT Field FROM Table WHERE Filter='"+userinput.Replace("'", "''")+"'"
到处都是.现在虽然那些看起来不太令我愉快,但我不介意重写它们,我的问题是,我需要吗?尽我所能,我看不到用这种方式执行SQL注入的方法.