微信公众号搜"智元新知"关注
微信扫一扫可直接关注哦!

为什么声纳云没有标记为“注入”?

如何解决为什么声纳云没有标记为“注入”?

看看这段代码

var url = "https://mydatabase.documents.azure.com:443/";
var db = "my-db";
var key = "mykey";

var sqlQueryText = $"SELECT * FROM CelCoinData f WHERE f.id = '{data.UniversalId}' and f.uri = '{data.Uri}'";

var cliente = new CosmosClient(url,key);
var database = cliente.GetDatabase(db);
var containers = database.GetContainer("MyContainer");
var dados = new DataCosmosDB();

var iterator = containers.GetItemQueryIterator<DataCosmosDB>(sqlQueryText);

在我看来,这是 sql 注入的教科书,但 SonarCloud 并没有这样标记。为什么?

Cosmos 是否无懈可击? Cosmos 客户端是否以某种方式计算并相应调整并且声纳意识到这一点?

解决方法

根据 SonarCloud 支持,Cosmos 尚未检测为 SINK。他们会做出适当的改变

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。