データベース内の管理者ユーザーの数をカウントするこの関数があり、ConnexionString はデータベースへの文字列接続です: (彼が新しい管理者を追加できるかどうかを確認するカウント)
if (UserController.CountUsers(Level.Admin, ActiveUser.ConnexionString) >5)
{
user.Message = "You reach the max of Admin!";
return RedirectToAction("EditUser");
}
そしてaspページで:
<script type="text/javascript">
var erreur = $("#Message").val();
if (erreur.length > 0) {
jAlert(error, 'Error', false);
}
</script>
そして、私はこの苦情を受け取りました: (IBM Security AppScan によるテスト)
ブラインド SQL インジェクションの重大度: 高
エンティティ: メッセージ (パラメータ)
リスク: データベースのエントリとテーブルを表示、編集、または削除できます
原因:危険文字の修正が正しく行われなかった
違い: パラメータ操作
from: 管理者の上限に達しました!
宛先: % 27 +% 2B + ltrim% 28% 27% 27% 29 +% 2B +%27You+reach+the+max+of+++Admin!21%
私はそれを修正することができます!