问题描述
std::string sQuery;
char ch= NULL;
ch = fgetc(stdin);
if(ch != EOF)
{
sQuery += ch;
}
checkmarx 抱怨代码说 fgetc 元素获取数据库数据,元素值流经代码而没有经过清理或验证,最终用于数据库查询方法
解决方法
使用不受信任的数据动态构建数据库查询将使您的代码容易受到二阶 SQL 注入(以及一般的 SQL 注入)的攻击。为了降低这种风险,请使用参数化方法和框架(例如 Qt 可以帮助您解决此问题:
char ch= NULL;
ch = fgetc(stdin);
if(ch != EOF)
{
QSqlQuery parametarizedQuery;
parametarizedQuery.prepare("Select * from Table1 where column1 = :ch");
parametarizedQuery.bindValue(":ch",ch);
}