0

我有以下代码并引发 XML 注入(请参阅突出显示的文本)。可以告诉我如何删除它

private string GetRecordSet(OleDbDataReader oDR)
        {
            XmlTextWriter xTWriter = null;
            StringWriter oSWriter = null;
            int iRecCnt=0;
            string sName = String.Empty;
            string sValue = String.Empty;

            try
            {
                //Create Out XML    
                oSWriter = new StringWriter();
                xTWriter = new XmlTextWriter(oSWriter);
                xTWriter.Formatting = Formatting.Indented;
                xTWriter.WriteStartElement("SESSION");

                while(oDR.Read()) 
                {
                    iRecCnt++;

                    sName = oDR.GetValue(0).ToString();
                    sValue = oDR.GetValue(1).ToString();
                    **xTWriter.WriteElementString(sName, sValue);**
                }

                xTWriter.WriteElementString("TotalRecords", iRecCnt.ToString());
                xTWriter.WriteEndElement(); //ROWSET END

                //Return XML string. If no records found then return empty string
                string sRtrn = oSWriter.ToString();
                if (iRecCnt == 0) sRtrn = string.Empty;
                return sRtrn;
            }
4

1 回答 1

1

您没有以任何方式清理输入。它的 XML 可注入是因为 XML 元字符可用于将您的代码更改为非预期的行为。元字符的示例:单引号、双引号、<、> - 任何在通过您的代码时实际上可能导致代码写入非预期的 xml 元素或属性的内容。

于 2013-05-14T22:53:25.233 回答