1

我有这个函数来计算数据库中管理员用户的数量,而 ConnexionString 是连接到数据库的字符串:(检查他是否可以添加新管理员的计数)

if (UserController.CountUsers(Level.Admin, ActiveUser.ConnexionString) >5)
{
    user.Message = "You reach the max of Admin!";
    return RedirectToAction("EditUser");
}

在asp页面中:

<script type="text/javascript">
var erreur = $("#Message").val();

if (erreur.length > 0) {
    jAlert(error, 'Error', false);
}
</script>

我收到了这样的投诉:(IBM Security AppScan 测试)

SQL 盲注严重性:高

实体:消息(参数)

风险:您可以查看、编辑或删除数据库条目和表格

原因:未正确执行风险字符的更正

区别:参数操纵

来自:你达到了管理员的最大值!

至:% 27 +% 2B + ltrim% 28% 27% 27% 29 +% 2B +%27You+reach+the+max+of+++Admin!21%

我能解决这个问题吗!

4

0 回答 0