SOQLクエリ：ストアドXSSエラー

Question

私はセキュリティコードスキャナのための私のコードを与えているが、それが原因

クエリに次のエラーを与えている：私のクエリは、このようなものですXSS

を保管していました。

loan=Database.query('SELECT Name,fintechLLC__Application__c ,fintechLLC__Legal_Corporate_Name__c,fintechLLC__Last_Month_Trans__c, fintechLLC__X2_Month_ago_Trans_del__c,fintechLLC__X3_Month_ago_Trans__c,CreatedDate,fintechLLC__Monthly_Ending_Bal__c,Max_Rate__c,fintechLLC__Term__c,fintechLLC__Funding_Amount__c,fintechLLC__Business_DBA_Name__c,fintechLLC__Credit_Score__c, fintechLLC__Business_DBA_Years_in_Business__c,fintechLLC__Avg_Daily_Bank_Bal__c FROM fintechLLC__Loan__c where id=\''+loanId+'\''); 

親切にあなたの動的なクエリでは、この

Answer 1

で私を助けて、あなたはSOQLインジェクションを防ぐためにString.escapeSingleQuotesを使用する必要があります。

変数loadIdのパスに移動し、Visualforceページで、JSENCODEまたはHTMLENCODEのいずれかで正しくラップされていることを確認します。これは使用方法によって異なります。

loan=Database.query('SELECT Name,fintechLLC__Application__c ,fintechLLC__Legal_Corporate_Name__c,fintechLLC__Last_Month_Trans__c, fintechLLC__X2_Month_ago_Trans_del__c,fintechLLC__X3_Month_ago_Trans__c,CreatedDate,fintechLLC__Monthly_Ending_Bal__c,Max_Rate__c,fintechLLC__Term__c,fintechLLC__Funding_Amount__c,fintechLLC__Business_DBA_Name__c,fintechLLC__Credit_Score__c, fintechLLC__Business_DBA_Years_in_Business__c,fintechLLC__Avg_Daily_Bank_Bal__c FROM fintechLLC__Loan__c where id=\''+String.escapeSingleQuotes(loanId)+'\'');