SQL 注入攻击是攻击者通过向应用程序传递恶意的 SQL 语句来篡改原本合法的 SQL 查询。假设一个没有使用参数化查询的场景，用户输入直接拼接到 SQL 语句中，攻击者可能会通过精心构造的输入来修改 SQL 逻辑。

示例：没有使用参数化查询（容易受到 SQL 注入攻击）

string userInput = "1; DROP TABLE Students;"; // 恶意输入
string query = "SELECT * FROM Students WHERE StudentId = " + userInput;

using (SqlCommand command = new SqlCommand(query, connection))
{
    command.ExecuteReader();
}

在这个例子中，攻击者传入了恶意的输入 "1; DROP TABLE Students;"，导致最终执行的 SQL 语句变为：

SELECT * FROM Students WHERE StudentId = 1; DROP TABLE Students;

这不仅会查询 StudentId = 1 的记录，还会执行第二条危险的 SQL 命令，删除 Students 表。

使用参数化查询防止 SQL 注入

通过参数化查询，SQL 和参数是分开处理的。数据库引擎将参数当作数据而不是 SQL 代码来执行，这样可以防止攻击者通过输入恶意 SQL 来篡改查询逻辑。

示例：使用参数化查询防止 SQL 注入

string query = "SELECT * FROM Students WHERE StudentId = @StudentId";
using (SqlCommand command = new SqlCommand(query, connection))
{
    // 添加参数，指定类型和参数值
    command.Parameters.Add(new SqlParameter("@StudentId", SqlDbType.Int) { Value = userInput });
    
    using (SqlDataReader reader = command.ExecuteReader())
    {
        while (reader.Read())
        {
            Console.WriteLine($"Student Name: {reader["Name"]}, Age: {reader["Age"]}");
        }
    }
}

在这种情况下，即使用户输入 "1; DROP TABLE Students;"，SQL 语句依然会被解析为：

SELECT * FROM Students WHERE StudentId = @StudentId

数据库引擎会将 @StudentId 当作一个参数处理，而不会将其视为代码执行，因此攻击者无法注入恶意 SQL。

参数化查询的优势

1. 防止 SQL 注入：参数化查询将 SQL 语句和数据分开处理，避免了将用户输入解释为代码，消除了 SQL 注入的风险。

2. 提高代码可读性：通过参数化查询，SQL 语句更加简洁清晰，尤其是当有多个参数时，代码可读性大大提升。

3. 更好的类型安全：参数化查询可以指定参数的类型（如 SqlDbType.Int），这确保了输入的数据类型与数据库表中的列类型一致，减少了数据类型转换错误的可能性。

使用参数化查询的其他好处

• 性能优化：在一些数据库系统（如 SQL Server）中，参数化查询可以促进查询计划的重用（缓存），提高查询性能。

• 防止恶意字符破坏：参数化查询会自动处理输入中的特殊字符，如引号（'）或分号（;），从而防止这些字符对 SQL 语句造成不良影响。

总结

是的，使用 参数化查询 来传递参数不仅可以简化代码，还可以有效地防止 SQL 注入攻击。这种方法是安全的数据库操作方式，避免了拼接 SQL 语句时可能带来的注入风险。你应该始终在应用程序中使用参数化查询来处理所有的用户输入，无论是来自用户表单、URL 参数还是其他外部来源的数据。