DB アクセス レイヤーでは、いくつかの動的クエリを作成しています。たとえば、ORDER BY
節の一部を構築するための次のメソッドがあります。
protected string BuildSortString(string sortColumn, string sortDirection, string defaultColumn)
{
if (String.IsNullOrEmpty(sortColumn))
{
return defaultColumn;
}
return String.Format("{0} {1}", sortColumn, sortDirection);
}
問題は、sortColumn
どちらsortDirection
も文字列として外部から来るため、もちろん、インジェクション攻撃の可能性を防ぐために何かを行う必要があります。これを行う方法を知っている人はいますか?