Các giá trị trong selectionArgs các tham số không cần phải được thoát và chúng không được được thoát vì các ký tự thoát sẽ kết thúc trong cơ sở dữ liệu.
Có ba trường hợp mã SQL khác nhau được Veracode nhìn thấy:
- các giá trị không được đầu vào của người dùng (chẳng hạn như ký tự chuỗi trong mã nguồn);
- các giá trị là đầu vào của người dùng (vì đến trực tiếp từ, ví dụ:một số hộp chỉnh sửa);
- các giá trị có thể là đầu vào của người dùng, vì công cụ không thể xác định nguồn.
Vì lý do tiếp thị, các công cụ trả phí có xu hướng làm tăng cao các con số vấn đề càng nhiều càng tốt. Vì vậy, Veracode báo cáo tất cả các trường hợp của trường hợp thứ ba là sự cố.
Trong trường hợp này, Veracode không biết selection ở đâu đến từ, vì vậy nó phàn nàn. Nếu giá trị đó được tạo bởi chương trình của bạn và không bao giờ chứa bất kỳ đầu vào của người dùng (tức là, tất cả các giá trị do người dùng nhập sẽ được chuyển đến ? tham số), thì đây là một dương tính giả và bạn phải yêu cầu Veracode đóng cửa.
