不对 MySQL 查询进行参数化,而是在进行非常大的插入时使用方法 MySqlHelper.EscapeString(string) 是否安全?

Is it safe to not parameterize an MySQL query, and instead use the method MySqlHelper.EscapeString(string) when very large inserts are made?

例如:

StringBuilder sCommand = new StringBuilder("INSERT INTO User (FirstName, LastName) VALUES ");
            using (MySqlConnection mConnection = new MySqlConnection(ConnectionString))
            {
                List<string> Rows = new List<string>();
                for (int i = 0; i < 100000; i++)
                {
                    Rows.Add(string.Format("('{0}','{1}')", MySqlHelper.EscapeString("test"), MySqlHelper.EscapeString("test")));
                }
                sCommand.Append(string.Join(",", Rows));
                sCommand.Append(";");
                mConnection.Open();
                using (MySqlCommand myCmd = new MySqlCommand(sCommand.ToString(), mConnection))
                {
                    myCmd.CommandType = CommandType.Text;
                    myCmd.ExecuteNonQuery();
                }
            }

我想知道不参数化 MySQL 查询是否同样安全,而是在进行大量插入时使用 MySqlHelper.EscapeString

您不能使用方法 whatever.EscapeString(string) 代替参数。仅仅是因为这两个选项不相等。他们甚至没有关系。尽管人们普遍认为,任何逃避都不是为了保护,而且从来没有。它有一个非常具体的目的,只是意外 可能 阻止 SQL 注入。而参数化查询,如果使用得当,将 保证 受到保护。

也就是说,当您 Prepare() 查询一次,然后只 execute() 在循环中准备查询时,使用参数将 更快 进行多次插入.

我还建议将您的插入内容包装在 事务 中,这可能会显着加快处理速度。