我有这个函数来计算数据库中管理员用户的数量,而 ConnexionString 是连接到数据库的字符串:(检查他是否可以添加新管理员的计数)
if (UserController.CountUsers(Level.Admin, ActiveUser.ConnexionString) >5)
{
user.Message = "You reach the max of Admin!";
return RedirectToAction("EditUser");
}
在asp页面中:
<script type="text/javascript">
var erreur = $("#Message").val();
if (erreur.length > 0) {
jAlert(error, 'Error', false);
}
</script>
我收到了这样的投诉:(IBM Security AppScan 测试)
SQL 盲注严重性:高
实体:消息(参数)
风险:您可以查看、编辑或删除数据库条目和表格
原因:未正确执行风险字符的更正
区别:参数操纵
来自:你达到了管理员的最大值!
至:% 27 +% 2B + ltrim% 28% 27% 27% 29 +% 2B +%27You+reach+the+max+of+++Admin!21%
我能解决这个问题吗!