Ho un sito Web interno (in arrivo sulla intranet) che sta per passare attraverso test vigorosi per assicurarmi che sia sicuro, quindi mi sto battendo giù per i boccaporti per così dire e ho codificato un ripetitore .NET da associare a una SqlDatasource .NET nella pagina di aspx, non nel codice sottostante. Uso i tag SelectParameters
per inserire la stringa necessaria da una casella di testo per eseguire la query.
Mi chiedo quanto sia sicuro da SQL Injection e altre vulnerabilità.
<asp:SqlDataSource ID="DataGetAppServer" runat="server" ConnectionString="<%$ ConnectionStrings:testConn %>"
SelectCommand="SELECT [Server] FROM [ServerTracking] WHERE ([UserName] = @UserName)">
<SelectParameters>
<asp:ControlParameter ControlID="txtUser" Name="UserName" PropertyName="Text" Type="String" />
</SelectParameters>
</asp:SqlDataSource>
Devo fare di più per questo?