Checkmarx: атака с помощью SQL-инъекции второго порядка в C# ⇐ C#

[Anonymous]

Как мне убедиться в том, что инструмент статического анализа кода (в данном случае флажок) не вызывает проблем со следующим методом:

Код: Выделить всё

public OdbcDataReader ExecuteQuery(string sql)
{
var cmd = new OdbcCommand(sql, connection);
return cmd.ExecuteReader();
}

Checkmarx сообщает мне следующее:


Метод ExecuteQuery получает данные базы данных из элемента ExecuteReader.
Значение этого элемента затем проходит через код
без надлежащей очистки или проверки и в конечном итоге
используется в запросе к базе данных в методе ExecuteQuery.
Это может привести к атаке с помощью SQL-инъекции второго порядка.