古いサイトの翻訳を取得するための次のコードがあります (より重要な情報を持つ他の機能でも同様です)。
Dim myDoc As New XmlDocument
myDoc.Load(Server.MapPath("\GlobalContent\TranslationXML\TranslationXML.xml"))
Dim translationText As XmlNodeList = myDoc.SelectNodes("Transaltions/language[@code='" + hLang.Value + "']")
Hlang はユーザー入力から取得されます。ご覧のとおり、これは Xpath インジェクション攻撃に対して脆弱です。
パラメータの使用であるSQLインジェクションと同じことを適用しようとしていますが、2.0でそれを行う方法が見つかりませんでした
このチュートリアルを試しました: http://weblogs.asp.net/cazzu/archive/2003/10/07/30888.aspx
しかし、DynamicContextはライブラリの一部にすぎず、使用できません。
これを修正するにはどうすればよいですか?