NPOCO Append(arg1，arg2)是否阻止SQL注入？

Question

通过查看源代码，我不清楚NPOCO库中的public Sql Append(string sql, params object[] args)方法是否阻止NPOCO注入。

为简单起见(我的查询比这个复杂)，给出以下示例，其中filter是客户端传递的参数：

var sql = new Sql();
sql.Append("SELECT * FROM Request WHERE [Company] LIKE @0", $"%{filter}%");

这段代码容易被SQL注入吗？

Answer 1

SqlBuilsder.AddTemplate代码接受完全相同类型的sql字符串。然后，我完成了NPoco中的Fetch代码。最后，您将得到一个参数化查询，如`DECLARE @0Int= '4‘DECLARE @1 NVarChar = '%bad sql%’或1=1 --%‘

SELECT BLAH WHERE Something = @0和SomethingElse = @1`

它将在sql注入时中断，因此返回NULL。

测试恐惧的一个好方法是下载NPOCO并将其添加到您的solution...refer中，而不是添加到nuget中，然后逐步执行代码以查看最终结果。