4

現在、ハンド リーダー ハードウェアの制御に使用されるレガシー SDK を操作しています。これは商用の SDK および製品であるため、この SDK を使用する以外にハードウェアにアクセスする方法はありません。

ハンド リーダーのデータベースで SQL クエリを実行しようとしていますが、SDK は次のシグネチャを使用して実行する方法を 1 つしか提供していません。

handReader.QueryDB(string sqlStatement);

したがって、これは、任意のクエリを文字列の形式でそのメソッドに渡すことができることを意味します。これは単純ですが、すぐに SQL インジェクション攻撃の可能性を指摘します。

メソッドの動作にアクセスできないため、詳細な SQL 防止がメソッド内で行われているかどうかを確認できません。SqlCommandしたがって、クラスを利用したパラメーター化されたクエリと同様に、文字列をパラメーター化する方法を見つけたいと思います。

これは可能ですか?

4

1 に答える 1