如何处理此 SQL 注入警告（CA2100）-解网

问：

以下是我从Microsoft页面获得的代码：SqlCommand

public static Int32 ExecuteNonQuery(String connectionString, String commandText, CommandType commandType, params SqlParameter[] parameters)
{
        using (SqlConnection conn = new SqlConnection(connectionString))
        {
            using (SqlCommand cmd = new SqlCommand(commandText, conn))
            {
                // There're three command types: StoredProcedure, Text, TableDirect. The TableDirect 
                // type is only for OLE DB.  
                cmd.CommandType = commandType;
                cmd.Parameters.AddRange(parameters);

                conn.Open();
                return cmd.ExecuteNonQuery();
            }
        }
}

但是，VS 代码分析仍然抱怨“CA2100”：

警告 CA2100 传递给“FlexClaimFormRepository.ExecuteNonQuery（string， string， CommandType， params SqlParameter[]）”中的“SqlCommand.SqlCommand（string， SqlConnection）”的查询字符串可能包含以下变量“commandText”。如果这些变量中的任何一个可能来自用户输入，请考虑使用存储过程或参数化 SQL 查询，而不是使用字符串连接生成查询。

我知道警告存在的确切原因，但有什么关于如何摆脱它的想法吗？给定在函数中设置 commandText 是不可接受的，因为我希望它是一个参数。

.NET SQL 注入 CA2202

如果是可以用任意 SQL 填充的自由文本，例如，那么最好的办法是确保此应用程序仅与只读用户连接。例如，通过将用户添加到角色。不过，VS 代码分析不会识别这一点。commandTextUPDATE Salary SET Amount = Amount * 1000 WHERE Person='Me'db_datareader

答：

3赞 Kevin Dykema 11/28/2019 #1

我知道这个问题很老，但也许这会帮助有同样问题的人。我还使用了存储过程，因此使用本文中的信息禁止显示警告 Microsoft： https://learn.microsoft.com/en-us/visualstudio/code-quality/in-source-suppression-overview?view=vs-2019 .

这是我添加到方法中的属性：

[System.Diagnostics.CodeAnalysis.SuppressMessage("Security", "CA2100:Review SQL queries for security vulnerabilities", Justification = "Method already uses a Stored Procedure")]

上一个：保护动态生成的 SQL 查询免受 SQL 注入的影响。C#

下一个：清理不可参数化 sql 的最佳方法

如何处理此 SQL 注入警告（CA2100）

How to deal with this SQL injection warning (CA2100)

评论

如何处理此 SQL 注入警告 （CA2100）

How to deal with this SQL injection warning (CA2100)

评论

如何处理此 SQL 注入警告（CA2100）