專案程式被弱掃軟體掃出SQL injection
但是這段SQL並沒有拿去DB做搜尋,而是比對已取出的資料。
弱掃報告建議使用Parameters來解決,但重點是這段沒有拿去做SQL查詢啊!!
請問這該怎麼解決?
以下其中一行例子
<asp:HiddenField ID="hideRowIndex" Value='<%# Eval("RowIndex") %>' runat="server" />
DataRow rowtbType1Show = tbType1Show.Select(" RowIndex ='" + hideRowIndex.Value.Trim() + "' ")[0];
如你所說的,DataTable已經是取回來的資料。並沒有連DB,所以目前要解決的是不讓弱掃軟體警告
試試看這個方式能不能通過
DataRow rowtbType1Show tbType1Show.Select(string.Format("RowIndex ='{0}' ", hideRowIndex.Value.Trim()))[0];
參考說明
statckoverflow