[英]Access Control:Database issue showing in fortify scan
這是代碼:
public int Number
{
get { return this._number; }
set { this._number = value; }
}
強化掃描代碼后,該value
顯示為Access Control:Database。 如何解決此問題? 還是有其他方法可以保護價值?
(我曾嘗試設置private和保護public number
關鍵字,但這不起作用)
Fortify是完全錯誤的,或者是非常鈍的。 顯示的代碼只是一個整數屬性。 SQL注入任何幾乎沒有任何關系。 您確定它沒有抱怨類似的東西:
string sql = "blah blah ... " + obj.Number + " ... more blah";
現在,這與SQL注入在同一頁面上(盡管使用整數對您的危害通常是相當有限的,即使這只是不好的代碼)。 SQLi安全的實現方式是:
string sql = "blah blah ... @number ... more blah";
//...
cmd.CommandText = sql;
cmd.Parameters.AddWithValue("number", obj.Number); // or similar
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.