是否有通过 axpata 业务连接器调用的安全注入方式
string salesId = someObject.Text;
IAxaptaRecord salesLine = ax.CreateRecord("SalesLine");
salesLine.ExecuteStmt("select * from %1 where %1.SalesId == '" + salesId + "'");
如果 someObject.Text 设置为以下,那么我很容易受到 x++ 代码注入:
"SomeSalesOrder' || %1.SalesId == 'SomeOtherOrder"
有没有办法对查询进行参数化,或者直接在 x++ 中编写所有数据访问代码,然后从 COM 调用它会更好吗?