访问控制:加强扫描中显示数据库问题

时间:2018-10-20 12:51:45

标签: c# .net fortify

代码如下:

public int Number
{
    get { return this._number; }
    set { this._number = value; }
}

在强行扫描代码后,value显示为访问控制:数据库。如何解决此问题?还是有其他保护价值的方法?

(我已经尝试为public number设置private和保护关键字,但是它不起作用)

1 个答案:

答案 0 :(得分:2)

筑城要么是错误的,要么是明显的钝化。显示的代码只是一个整数属性。实际上,它与SQL注入一切没有关系。您确定不是在抱怨类似的东西吗?

string sql = "blah blah ... " + obj.Number + " ... more blah";

这现在与SQL注入在同一页上(尽管使用整数可能造成的危害通常是相当有限的,即使这只是不好的代码)。 SQLi安全的实现方式是:

string sql = "blah blah ... @number ... more blah";
//...
cmd.CommandText = sql;
cmd.Parameters.AddWithValue("number", obj.Number); // or similar