Nello scenario seguente il sito Web consente agli utenti di caricare un documento excel che contiene informazioni che verranno caricate nel database e memorizzate come valori che potranno essere successivamente consultati dall'utente. Sto tentando di caricare una iniezione sql con i seguenti parametri.
"INSERT INTO Uploads VALUES ('Name'); DROP TABLE Upload --"
Questa esecuzione viene eseguita in ASP.net EF 6. La mia domanda è, quando si utilizza questo tipo di iniezione, si genera semplicemente un errore sulla sintassi errata. Qualcuno può dirmi se questa iniezione è stata formattata in modo errato per penetrare, o se si tratta di una misura di sicurezza effettiva di SQL Server 2012?
Aggiornamento: l'errore effettivo che sto ricevendo è cmd.ExecuteNonQuery();
errato Sintassi vicino a ('Nome')