我只是没有找到任何我喜欢的答案.
我想做的事情如下:
public class TestsqlInjectionController : ApiController { public IEnumerable<TestsqlInjectionUser> Get([ValidatesqlInjection]string usernameFilter = null) {
其中[ValidatesqlInjection]查找基本信息,如传入过滤器包含;,–,DROP或DELETE时抛出错误.
[FilterField1ValidatesqlInjection]
这里可能将逗号分隔的列表拆分为数组.
然后滚动数组并确保每个元素与枚举中的一个值匹配.
这听起来像正朝着正确的方向前进吗?
问题是我们必须使用动态sql进行大量的分页,排序和过滤.没有其他办法了.
所以命令参数并没有真正为我们做很多事情.
解决方法
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。
