プロシージャを実行するこの方法はSQLインジェクションから安全ですか？

Question

DALのコード例

私はデータベースとしてc＃とSQL SERVERを使用しています。

私はparametesとSQLインジェクションについて語っトピックを見つけましたが、私はこのことについて知りたい

をされたDbCommandを使用して、データベースオブジェクトのシングルトン、および例MSSQLから手順をexceute 機能、 を書いて、データベース・AddInParameter

private Database m_db; 
public Database getDB 
{ 
     get 
     { 
      if(m_db == null) 
        m_db = DatabaseFactory.CreateDatabase("ConnectionString"); 
      return m_db; 
     } 
} 


public void Example(string Name) 
{ 
    DbCommand dbcmd = getDB.GetStoredProcCommand("dbo.Example"); 
    getDB.AddInParameter(dbcmd, "p_Name", DbType.String, Name); 
    getDB.ExecuteNonQuery(dbcmd); 
} 

おかげ

Answer 1

dbo.Example手順は間違いなく、まだQUを実行することができ、特定の方法例えば、安全ではありませんERY：それはあなたの手順がどのように見えるかもよるが

create proc dbo.Example (@pName varchar(100)) 
as 
    declare @cmd varchar(max); 
    set @cmd = 'select Somedata from Sometable where Somecolumn = '+ @pName; 
    exec (@cmd); 

安全なコードは、正確にパラメータ

create proc dbo.Example (@pName varchar(100)) 
as 
    select Somedata from Sometable where Somecolumn = @pName;