Я работаю над обновлением устаревшего кода, который неправильно обрабатывает пользовательский ввод. Код выполняет минимальную дезинфекцию, но не охватывает все известные угрозы.
Наш новый код использует параметризованные запросы. Насколько я понимаю, запросы предварительно компилируются, а ввод обрабатывается просто как данные, которые не могут быть выполнены. В этом случае санитарная обработка не требуется. Это правильно?
Иными словами, если я параметризую запросы в этом унаследованном коде, можно ли исключить очистку, которую он выполняет в настоящее время? Или я упускаю какое-то дополнительное преимущество дезинфекции помимо параметризации?