sql - パラメータ化されたクエリが SQL インジェクションの欠陥を解決しない

翻译自：https://stackoverflow.com/questions/33774634 2015-11-18T08:05:57.550

211 次

SQLインジェクションを回避することをどこかで読んだので、パラメーター化されたクエリを作成した次のコードがあります。しかし、この変更を行った後も、まだ SQL インジェクションの脆弱性が発生しています。

StrCmd = "select TdsSubCode from Rate where TdsCode= @cboTdsCode and DSCode= @cboDedStatus"

dsCmd = New SqlCommand(StrCmd, conTdsPac)

dsCmd.CommandType = CommandType.Text

dsCmd.Parameters.AddWithValue("@cboTdsCode", cboTdsCode.Text)

dsCmd.Parameters.AddWithValue("@cboDedStatus", cboDedStatus.Text)

dsCmd.ExecuteReader()

sql - パラメータ化されたクエリが SQL インジェクションの欠陥を解決しない

0 に答える 0

Related

Reference