【发布时间】:2014-04-20 20:07:18
【问题描述】:
我有一个具有以下功能的 SqlDB.dll:
public SqlDataReader getEnumValues(int enumId)
{
SqlDataReader reader = null;
using (SqlConnection connection = new SqlConnection(connectionString))
{
connection.Open();
SqlCommand command =
new SqlCommand(
"SELECT * FROM [EnumValue] WHERE enumId LIKE '" + enumId + "';",
connection);
reader = command.ExecuteReader();
//if(reader.Read())
// Debug.WriteLine("Inside sqlDb->getEnumValues command = " + command.CommandText + " reader[name] = " + reader["name"].ToString() + " reader[value] = " + reader["value"].ToString() + " reader[description] = " + reader["description"].ToString());
}
//reader.Close();
return reader;
}
如您所见,我尝试在返回之前关闭阅读器,并且我读取了里面的数据,没关系。 我正在使用这样的功能:
using (SqlDataReader getEnumValuesReader = (SqlDataReader)getEnumValues.Invoke(sqlDB, getEnumValuesForEnumParam))
{
Debug.WriteLine("Success getEnumValues -- ");
if (getEnumValuesReader.HasRows)
{
while (getEnumValuesReader.Read()) //Loop throw all enumValues and add them to current enum
{
try
{
values.Add(new Model.EnumValue(getEnumValuesReader["name"].ToString(), getEnumValuesReader["value"].ToString(), getEnumValuesReader["description"].ToString()));
Debug.WriteLine("Value[0].name = " + values[0].Name);
}
catch (Exception ex)
{
Debug.WriteLine("Error in building new EnumValue: " + ex.Message);
}
}
}
}
我遇到了“System.InvalidOperationException”类型的异常
我猜这与正在传递的 Sqldatareader 有关。
【问题讨论】:
-
SQL Injection alert - 您应该不将您的 SQL 语句连接在一起 - 使用 参数化查询 来避免 SQL 注入
-
我完全没有安全问题,它没有任何用户\其他开发者\未来的计划但谢谢你的回答
-
如果此代码用于网站 - 这些网站中的 任何 都极有可能被 SQL 注入利用。让我知道这些是哪些网站,这样我就可以确保永远不会访问它们中的任何一个......
-
不,它不适用于 Web,它是我正在构建的 VSPackage 程序。我对 SQL 注入问题很熟悉,但在这种情况下我并不担心。
-
无论最终产品是什么 - 它只是被接受的最佳实践以避免将您的 SQL 连接在一起。你真的应该使用参数化查询 - 总是,没有例外。
标签: c# sql-server exception sqldatareader