0

アセンブリにこのようなメソッドを実装すると危険と見なされますか?

 public void Execute(string sql)
        {
            using (SqlConnection connection = new SqlConnection("MyConnectionString....."))
            {
                SqlCommand command = new SqlCommand(sql, connection);
                connection.Open();
                command.ExecuteNonQuery();                
            }
        }
4

1 に答える 1

1

渡すSQL文字列が動的に構築されており、ユーザー入力の連結が含まれている場合は危険です。それ以外の場合は、一般的に悪い習慣と見なされます。ストアド プロシージャが最善の策です。

SQL インジェクションに関する OWASP の記事は次のとおりです。

于 2012-09-07T21:05:35.587 に答える