我正在分析我的代码并遇到了这个安全问题:
CA2100 检查 SQL 查询是否存在安全漏洞 在“Add_item.loadgrid()”中传递给“SqlDataAdapter.SqlDataAdapter(string, SqlConnection)”的查询字符串可能包含以下变量“Login.dbName”。如果这些变量中的任何一个可能来自用户输入,请考虑使用存储过程或参数化 SQL 查询,而不是使用字符串连接构建查询。登录 Add_item.cs 64
这是突出显示的代码:
SqlDataAdapter da = new SqlDataAdapter("SELECT Newjob FROM [" + Login.dbName + "].newjob", connection. conn );