我有很多只在服务器端运行的Windows服务。它对数据库(MySQL)执行少量CRUD操作。
有一个客户端应用程序允许用户通过它上传文件到服务器。当文件上传到服务器时,Window Service会对此文件执行所需的操作,并通过SQL查询更新Database中的详细信息。
客户端应用程序(桌面应用程序) - >文件 - >在服务器上传 - >窗口服务进程文件 - >数据库输入
我想知道这种架构是否真的需要参数化查询以防止SQL注入?
使用参数化查询不仅可以防止sql注入,还可以为您提供其他优势(例如:查询计划重用)。
如果执行CRUD操作,则可以使用ORM(如EF)或MicroORM(如Dapper)来简化参数化语句的创建。