Ciao a tutti i partecipanti!

Mi è venuto un forte dubbio:

se io associo al mio command una query con i parameters ad esempio come questa:

MioCommand.CommandText =

"SELECT campo1

FROM tabella

WHERE campo1 LIKE '%' @parameter + '%'";


Ci sono rischi di sql injection ( data dal + che concatena ... ) oppure sono tranquillo perchè uso i parameters e non corro rischio alcuno?

Grazie a tutti!!

Ciao, in .net la classe SqlParameters ti viene in aiuto impendendo di fatto attacchi di tipo injection.

Puoi dare un occhiata a quest'articolo :
http://msdn2.microsoft.com/en-us/library/ms998271.aspx

oppure
http://weblogs.asp.net/scottgu/archive/2006/09/30/Tip_2F00_Trick_3A00_-Guard-Against-SQL-Injection-Attacks.aspx

Ciao, in .net la classe SqlParameters ti viene in aiuto impendendo di fatto attacchi di tipo injection.

Puoi dare un occhiata a quest'articolo :
http://msdn2.microsoft.com/en-us/library/ms998271.aspx

oppure
http://weblogs.asp.net/scottgu/archive/2006/09/30/Tip_2F00_Trick_3A00_-Guard-Against-SQL-Injection-Attacks.aspx

Ok, grazie! Ma questa immunità resiste concatenando il % con l'uso del LIKE nella query?

Sono un po' arruginito su SQL, ma penso di si in quanto utilizzando la classe SqlParameters qualunque stringa venga passata alla tua variabile '@parameter', non verrà in nessun caso interpretata come un comando.
Ma non vorrei dire fesserie quindi aspetterei qualcuno che ne sappia qualcosina di più :stordita:

Sono un po' arruginito su SQL, ma penso di si in quanto utilizzando la classe SqlParameters qualunque stringa venga passata alla tua variabile '@parameter', non verrà in nessun caso interpretata come un comando.
Ma non vorrei dire fesserie quindi aspetterei qualcuno che ne sappia qualcosina di più :stordita:

Grazie intanto, spero ci sia qualcuno che mi dia la conferma di questo!

Sarebbe una bella comodità..