Если у меня есть веб-приложение ASP.NET, имеющее базу данных SQL Server, можно ли предположить, что если атака SQL Injection будет выполнена, она пройдет через экземпляр класса SqlCommand
?
Фон:
Я в ситуации, когда унаследовал довольно большое веб-приложение с некоторыми уязвимостями SQL Injection. Я нашел несколько, просто просмотрев код для других проблем, но мне интересно, можно ли безопасно найти все уязвимости SQL Injection, чтобы искать все файлы для экземпляров SqlCommand
, а затем проверить, не параметризированы ли они запросы. Является ли это прочным планом?