3

コードを分析していて、次のセキュリティ上の問題が発生しました。

CA2100 SQL クエリでセキュリティの脆弱性を確認してください 'Add_item.loadgrid()' で 'SqlDataAdapter.SqlDataAdapter(string, SqlConnection)' に渡されたクエリ文字列には、次の変数 'Login.dbName' が含まれている可能性があります。これらの変数のいずれかがユーザー入力に由来する可能性がある場合は、文字列連結でクエリを作成する代わりに、ストアド プロシージャまたはパラメーター化された SQL クエリを使用することを検討してください。ログイン Add_item.cs 64

これは強調表示されたコードです。

SqlDataAdapter da = new SqlDataAdapter("SELECT Newjob FROM [" + Login.dbName + "].newjob", connection. conn );
4

1 に答える 1

3

これは、SQL インジェクションの脆弱性として一般に知られているものです。値を文字列に連結してその文字列を SQL Server に渡す代わりに、sqlParameter オブジェクトを使用する必要があります。

于 2013-11-08T05:54:38.730 に答える