我正在分析我的代码并遇到了这个安全问题:
CA2100查看针对安全漏洞的SQL查询在“Add_item.loadgrid()”中传递给“SqlDataAdapter.SqlDataAdapter(string,SqlConnection)”的查询字符串可能包含以下变量“Login.dbName”。如果这些变量中的任何一个可能来自用户输入,请考虑使用存储过程或参数化SQL查询,而不是使用字符串连接构建查询。登录Add_item.cs 64
这是突出显示的代码:
SqlDataAdapter da = new SqlDataAdapter("SELECT Newjob FROM [" + Login.dbName + "].newjob", connection. conn );
答案 0 :(得分:3)
这就是通常所说的SQL注入漏洞。您应该使用sqlParameter对象,而不是将值连接到字符串并将该字符串传递给SQL Server。