Проблемы безопасности в отчетах SSRS - PullRequest
Новая
       28

Проблемы безопасности в отчетах SSRS

0 голосов
/ 29 октября 2018

Недавно мы провели статический анализ кода для проверки безопасности нашего приложения ASP.Net (.Net framework 4.0), в котором есть несколько файлов rdlc для отчетов. Средство сканирования уязвимостей (checkmarx) подняло ниже проблему в автоматически сгенерированном коде конструктора наборов данных. Эта проблема возникает в InitCommandCollection(), где объект создан, но не выпущен. Не могли бы вы сообщить нам способ решения этой проблемы. Для получения дополнительной информации прикрепите фрагмент кода.

Проблема, возникшая у checkmarx - Improper_Resource_Shutdown_or_Release

Исходный объект - SqlConnection Целевой объект - _commandCollection 

[global::System.Diagnostics.DebuggerNonUserCodeAttribute()]
[global::System.CodeDom.Compiler.GeneratedCodeAttribute("System.Data.Design.TypedDataSetGenerator", "4.0.0.0")]
private void InitCommandCollection() {
    this._commandCollection = new global::System.Data.SqlClient.SqlCommand[1];
    this._commandCollection[0] = new global::System.Data.SqlClient.SqlCommand();
    this._commandCollection[0].Connection = this.Connection;
    this._commandCollection[0].CommandText = "dbo.usp_Skill_report";
    this._commandCollection[0].CommandType = global::System.Data.CommandType.StoredProcedure;
    this._commandCollection[0].Parameters.Add(new global::System.Data.SqlClient.SqlParameter("@RETURN_VALUE", global::System.Data.SqlDbType.Int, 4, global::System.Data.ParameterDirection.ReturnValue, 10, 0, null, global::System.Data.DataRowVersion.Current, false, null, "", "", ""));
    this._commandCollection[0].Parameters.Add(new global::System.Data.SqlClient.SqlParameter("@empCode", global::System.Data.SqlDbType.Int, 4, global::System.Data.ParameterDirection.Input, 10, 0, null, global::System.Data.DataRowVersion.Current, false, null, "", "", ""));
    this._commandCollection[0].Parameters.Add(new global::System.Data.SqlClient.SqlParameter("@Skill_Category", global::System.Data.SqlDbType.Int, 4, global::System.Data.ParameterDirection.Input, 10, 0, null, global::System.Data.DataRowVersion.Current, false, null, "", "", ""));
    this._commandCollection[0].Parameters.Add(new global::System.Data.SqlClient.SqlParameter("@Level", global::System.Data.SqlDbType.Int, 4, global::System.Data.ParameterDirection.Input, 10, 0, null, global::System.Data.DataRowVersion.Current, false, null, "", "", ""));
    this._commandCollection[0].Parameters.Add(new global::System.Data.SqlClient.SqlParameter("@SKillSetID", global::System.Data.SqlDbType.Int, 4, global::System.Data.ParameterDirection.Input, 10, 0, null, global::System.Data.DataRowVersion.Current, false, null, "", "", ""));
}
...