12
Ist es sicher, eine SQL-Abfrage nicht zu parametrisieren, wenn der Parameter keine Zeichenfolge ist?
In Bezug auf die SQL-Injection verstehe ich die Notwendigkeit, einen stringParameter zu parametrisieren, vollständig . Das ist einer der ältesten Tricks im Buch. Aber wann kann es gerechtfertigt sein, eine nicht zu parametrisieren SqlCommand? Werden Datentypen als "sicher" angesehen, um nicht parametrisiert zu werden? Zum Beispiel: Ich habe mich nicht …