Access Control: Datenbank Ausgabe in Fortify Scan zeigt

stimmen
-1

Hier ist der Code:

public int Number
{
    get { return this._number; }
    set { this._number = value; }
}

Das valuezeigt , wie Access Control: Datenbank nach dem Scannen des Codes befestigen. Wie kann ich dieses Problem beseitigen? Oder gibt es eine andere Möglichkeit , den Wert zu schützen?

(Ich habe versucht , mit dem privaten Einstellung und schützen Keywords für , public numberaber es funktioniert nicht)

Veröffentlicht am 20/10/2018 um 12:51
quelle vom benutzer
In anderen Sprachen...                            


1 antworten

stimmen
2

Fortify ist entweder einfach falsch, oder ist bemerkenswert stumpf. Der Code dargestellt ist einfach eine Integer - Eigenschaft. Praktisch keine Beziehung zu SQL - Injection auch immer . Sind Sie sicher , dass es sich nicht beschweren über so etwas wie:

string sql = "blah blah ... " + obj.Number + " ... more blah";

Dies wird jetzt immer auf der gleichen Seite wie SQL-Injection (obwohl der Schaden Sie mit einer ganzen Zahl tun können in der Regel eher begrenzt ist, auch wenn dies nur schlecht Code ist). Die SQLi sichere Art und Weise, dass die Umsetzung wäre:

string sql = "blah blah ... @number ... more blah";
//...
cmd.CommandText = sql;
cmd.Parameters.AddWithValue("number", obj.Number); // or similar
Beantwortet am 20/10/2018 um 13:17
quelle vom benutzer

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more