我听说将ADO.NET SQLParameter(参数化查询)用于SQL Server时仍然可以进行SQL注入。
我正在寻找C#/ VB代码中的真实示例作为证明。
编辑:我正在寻找特定的工作示例。没有介绍SQL注入或如何防止它。
如果要在存储的proc中创建语句并使用sp_executesql,则参数化查询是错误的安全网。
