我正在这样过滤我的GridView中的某些数据:
protected void Button1_Click(object sender, EventArgs e)
{
if (DropDownList1.SelectedValue.ToString() == "Name")
{
ObjectDataSource1.FilterExpression = "Name LIKE '%" + TextBox1.Text + "%' ";
}
else if (DropDownList1.SelectedValue.ToString() == "Title")
{
ObjectDataSource1.FilterExpression = "Title LIKE '%" + TextBox1.Text + "%' ";
}
数据最初是从后面代码中的DataTable中提取的。现在,我已经阅读了很多有关Sql Injection的内容,但我只是想知道这是否与ObjectDataSource.FilterExpression有关?据我所知,不应该只是寻求第二意见来确认?
您肯定要接受FilterExpression注入,因为您没有清除用户输入。现在,注入的结果/影响是什么,将取决于您的系统和存储的值的类型。
有关FilterExpression注入的更多信息,请阅读此白皮书: