如何针对安全漏洞问题修复CA2100 Review SQL查询

时间:2013-11-08 04:40:38

标签: c# sql-server visual-studio optimization code-analysis

我正在分析我的代码并遇到了这个安全问题:

  

CA2100查看针对安全漏洞的SQL查询在“Add_item.loadgrid()”中传递给“SqlDataAdapter.SqlDataAdapter(string,SqlConnection)”的查询字符串可能包含以下变量“Login.dbName”。如果这些变量中的任何一个可能来自用户输入,请考虑使用存储过程或参数化SQL查询,而不是使用字符串连接构建查询。登录Add_item.cs 64

这是突出显示的代码:

SqlDataAdapter da = new SqlDataAdapter("SELECT Newjob FROM [" + Login.dbName + "].newjob", connection. conn );

1 个答案:

答案 0 :(得分:3)

这就是通常所说的SQL注入漏洞。您应该使用sqlParameter对象,而不是将值连接到字符串并将该字符串传递给SQL Server。