Ich habe eine Situation, in der ich die ExecuteCommand-Methode von LINQ verwenden muss, um eine Einfügung auszuführen.Bietet LINQs ExecuteCommand Schutz vor SQL-Injection-Angriffen?
So etwas wie (für die Zwecke dieser Frage vereinfacht):
object[] oParams = { Guid.NewGuid(), rec.WebMethodID };
TransLogDataContext.ExecuteCommand (
"INSERT INTO dbo.Transaction_Log (ID, WebMethodID) VALUES ({0}, {1})",
oParams);
Die Frage ist, ob diese SQL-Injection-Nachweis in der gleichen Art und Weise parametrisierte Abfragen sind ist?
Der Kommentator, ScottGu, ist mehr als nur ein zufälliger Typ im Netz! http://en.wikipedia.org/wiki/Scott_Guthrie – nathaniel