症状
在 Microsoft 自动代码评审(OACR)中检查 SQL 复制组件以验证是否有任何代码对 SQL 注入攻击很容易,您收到类似于以下内容的错误消息:
F:\ ds_maindev1 \Sql\Sqlrepl\xpreplclr.net\ReplCmdDataReader.cs (1004): OACR 警告62100: "ReplCmdsReader.sp_printstatement (字符串)" 中传递到 "SqlCommand. set (字符串)" 的查询字符串可能包含以下变量 "strCmd"。 如果这些变量中的任何一个可能来自用户输入,请考虑使用存储过程或参数化 SQL 查询,而不是使用字符串串联生成查询。 (运行 "oacr fxcop SQL: amd64chk/target asm_tranrepl" 获取详细信息)
函数: ReplCmdsReader (-1)
解决方案
在 SQL Server 的以下累积更新中修复了此问题:
关于 SQL Server 的累积更新:
SQL Server 的每个新的累积更新均包含以前的累积更新中包含的所有修补程序和所有安全修补程序。 查看 SQL Server 的最新累积更新:
参考
了解Microsoft 用于描述软件更新的术语 。