SqlCommand如何清理参数?

它可以防止SQL注入,而不是XSS,以及 没有代码或函数 这会清理参数数据。

保护是通过将参数值与查询字符串分开传输到服务器来实现的,这样这些值就可以 从不 直接替换到sql语句中。

SELECT * FROM [table] WHERE [column] = ParameterValue

更像是它运行的是这样的东西:

DECLARE @ParamValue int
  -- //@ParamValue variable is populated from the framework in a safe way
SELECT * FROM [table] WHERE [column] = @ParamValue

这比必须评估参数数据的函数更快、更安全、更健壮。这样一个函数需要非常复杂(读:容易出错)才能处理这样的事情 custom escape characters

这巧妙地回避了整个问题:数据就是数据,代码就是代码,两者永远不会相遇。

如果我传入值O'Rourke,它会将其编码为O'Rourke,这样就不会中断查询。对的

不,那是不对的。变量是直接从数据块创建的,因此不需要特殊的转义或编码。