Request.QueryString.Get("ID")SQL インジェクションに対して使用するページをテストするにはどうすればよいですか。www.myDomain/mySite.aspx?ID=1234'や などのいくつかの基本的なことを試しましたがwww.myDomain/mySite.aspx?ID=1234'、どちらも予期しないことを引き起こしません。ただし、脆弱性をテストする決定的な方法を探しています。この投稿によると、インジェクションを防ぐための正しいメカニズムを実装したようです。オンライン記事以外に、これをテストした実際の経験がありません。
かなり一般的と思われる 2 つの防御メカニズムを使用しています
1.) SQL コマンドに追加される前に、単一のアポストロフィと「&」を削除し、クエリ文字列に書式設定を行うサニタイズ機能があります。
2.) パラメータ化されたステートメントも使用しているため、クエリ文字列は実行されるコマンドのパラメータになります。クエリ構造が既に定義されているため、これによりプロセス全体がより安全になることを理解しています。