Triệu chứng
Trong quá trình xem xét Microsoft Auto Code (OACR) kiểm tra thành phần SQL nhân bản để xác thực nếu có bất kỳ mã nào dễ bị tổn thương đối với các cuộc tấn công SQL injection, bạn nhận được thông báo lỗi tương tự như sau:
F:\ ds_maindev1 \Sql\Sqlrepl\xpreplclr.net\ReplCmdDataReader.cs (1004): cảnh báo OACR 62100: chuỗi truy vấn được thông qua ' SqlCommand. CommandText. Set (string) ' trong ' ReplCmdsReader.sp_printstatement (chuỗi) ' có thể chứa các biến số sau ' strCmd '. Nếu bất kỳ các biến số nào có thể đến từ đầu vào người dùng, hãy cân nhắc việc sử dụng thủ tục được lưu trữ hoặc truy vấn SQL tham số thay vì việc xây dựng truy vấn bằng các liên kết chuỗi. (chạy ' oacr fxcop SQL: amd64chk/target asm_tranrepl. dll ' để biết chi tiết)
HÀM: Microsoft. SqlServer. sao chép. ReplCmdsReader (-1)
Giải pháp
Sự cố này đã được khắc phục trong các bản Cập Nhật tích lũy sau đây cho SQL Server:
Giới thiệu về Cập Nhật tích lũy cho SQL Server:
Mỗi bản Cập Nhật tích lũy mới cho SQL Server chứa tất cả các hotfix và tất cả các bản sửa lỗi bảo mật đã được đưa vào bản Cập Nhật tích lũy trước đó. Kiểm tra các bản Cập Nhật tích lũy mới nhất cho SQL Server:
Tham khảo
Tìm hiểu về thuật ngữ mà Microsoft sử dụng để mô tả các bản cập nhật phần mềm.
