SQL注入在winforms中工作吗？

Question

我正在用c#制作一个windows软件。我读过关于sql-injection的文章，但我没有发现它正在处理我的应用程序。

SQL注入在winforms中工作吗？

如果是的话，如何防止它们。

编辑：我正在使用文本框来读取用户名和密码.通过使用textboxex，我发现文本框中的文本位于双引号("")之间。所以我没发现它是有用的。

当我在文本框中使用引号"或'时，文本被读取为\"或\'。

示例：

            ...................
USER NAME:  | a" OR "1"=="1   |
            ```````````````````
// it is read as textBox1.Text = "a\" OR \"1\"==\"1";

Answer 1

SQL注入是一个普遍的问题，不依赖于任何技术。如果您使用.NET并希望使用防止SQL注入，则始终使用SqlParameter而不是字符串连接。

Answer 2

是。防止这种情况的最简单方法是对发送到数据库的任何用户输入使用SqlParameter。或者不要使用SqlDataAdapter，而是使用实体框架。

Answer 3

SQL注入是由直接在动态构建的SQL语句中使用用户输入引起的，这使用户能够中断SQL或“注入”自己的SQL代码。

使用存储过程或带有参数的SQL可以避免这种情况。

因此，是的，如果SQL是这样编码的，那么在winforms中就会发生这种情况。