黑客的手段有時(shí)是令人瞠目結(jié)舌的，雖然乍看上去你的下拉選項(xiàng)是預(yù)定好的，不會(huì)發(fā)生用戶代碼注入，但誰知道下拉項(xiàng)會(huì)不會(huì)被篡改。為了絕對(duì)安全也罷，為了養(yǎng)成良好習(xí)慣也罷，建議兄弟還是保險(xiǎn)起見統(tǒng)統(tǒng)用 SqlParameter 的形式加入?yún)?shù)?；蛟S可以試驗(yàn)一下：有個(gè)可以腳本注入的漏洞，通過此漏洞更改下拉框的選項(xiàng)，然后通過提交下拉框的當(dāng)前值完成 sql 注入。期待專家的解答，關(guān)注一下。

很明顯可以的，首先你的參數(shù)全是來自于客戶端的HTTP請(qǐng)求，那么自然可以偽造一個(gè)HTTP請(qǐng)求來達(dá)到注入的目的，因此還是用Parameter吧