我正在分析我的代码并遇到这个安全问题:
CA2100 检查 SQL 查询是否存在安全漏洞 传递到“Add_item.loadgrid()”中的“SqlDataAdapter.SqlDataAdapter(string, SqlConnection)”的查询字符串可能包含以下变量“Login.dbName”。如果这些变量中的任何一个可能来自用户输入,请考虑使用存储过程或参数化 SQL 查询,而不是使用字符串连接构建查询。登录 Add_item.cs 64
这是突出显示的代码:
SqlDataAdapter da = new SqlDataAdapter("SELECT Newjob FROM [" + Login.dbName + "].newjob", connection. conn );
这就是通常所说的 SQL 注入漏洞。您应该使用 sqlParameter 对象,而不是将值连接到字符串中并将该字符串传递给 SQL Server。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
