解决方法
尝试从前面检测漏洞可能会有所帮助,但实际上您应该查看代码,特别是与DbCommand,sqlCommand等相关的所有代码.关键点,如您所知,永远不会将用户输入连接到查询,但要参数化.有很好的工具可以使这种参数化变得容易 – 或者至少比手动操作更容易.例如,如果您有:
using(var cmd = conn.CreateCommand()) {
cmd.CommandText = "delete from Orders where id = " + id;
cmd.ExecuteNonQuery();
}
那么像dapper-dot-net这样的工具将允许你做以下事情:
conn.Execute("delete from Orders where id = @id",new {id});
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
