传递给 'AutoCode.GetKeyList(string, string)' 中的 'MySqlCommand.MySqlCommand(string, MySqlConnection)' 的查询字符串可能包含以下变量 'columnName', 'tableName'。如果其中的任意变量可能来自用户输入，请考虑使用存储过程或参数化 SQL 查询，而不是通过字符串串联来生成查询。 可以在方法 'ExcelHelp.ImportExcel(string)' 中多次释放对象 'conn'。若要避免生成 System.ObjectDisposedException，不应对一个对象多次调用 Dispose。: Lines: 47 'OPerateExcel.ArrayToExcel(string[,], int, int, int, string)' 再次引发捕获的异常并将其显式地指定为一个参数。请改用不带参数的“throw”以保留该异常最初引发时所在的堆栈位置。 'OPerateExcel.DataTableToExcel(DataTable, int, int, int, string)' 再次引发捕获的异常并将其显式地指定为一个参数。请改用不带参数的“throw”以保留该异常最初引发时所在的堆栈位置。 传递给 'publicFun.GetDataTable(string)' 中的 'MySqlCommand.MySqlCommand(string, MySqlConnection)' 的查询字符串可能包含以下变量 'sql'。如果其中的任意变量可能来自用户输入，请考虑使用存储过程或参数化 SQL 查询，而不是通过字符串串联来生成查询。 传递给 'publicFun.GetDynDataTable(string)' 中的 'MySqlCommand.MySqlCommand(string, MySqlConnection)' 的查询字符串可能包含以下变量 'sql'。如果其中的任意变量可能来自用户输入，请考虑使用存储过程或参数化 SQL 查询，而不是通过字符串串联来生成查询。 传递给 'publicFun.GetDynMaxKeyValue(string)' 中的 'MySqlCommand.MySqlCommand(string, MySqlConnection)' 的查询字符串可能包含以下变量 'tableName'。如果其中的任意变量可能来自用户输入，请考虑使用存储过程或参数化 SQL 查询，而不是通过字符串串联来生成查询。 传递给 'publicFun.GetList<T>(string)' 中的 'MySqlCommand.MySqlCommand(string, MySqlConnection)' 的查询字符串可能包含以下变量 'sqlStr'。如果其中的任意变量可能来自用户输入，请考虑使用存储过程或参数化 SQL 查询，而不是通过字符串串联来生成查询。 传递给 'publicFun.GetMaxKeyValue(string)' 中的 'MySqlCommand.MySqlCommand(string, MySqlConnection)' 的查询字符串可能包含以下变量 'tableName'。如果其中的任意变量可能来自用户输入，请考虑使用存储过程或参数化 SQL 查询，而不是通过字符串串联来生成查询。 传递给 'publicFun.GetOssList<T>(string)' 中的 'MySqlCommand.MySqlCommand(string, MySqlConnection)' 的查询字符串可能包含以下变量 'sqlStr'。如果其中的任意变量可能来自用户输入，请考虑使用存储过程或参数化 SQL 查询，而不是通过字符串串联来生成查询。 传递给 'publicFun.GetTestList<T>(string)' 中的 'MySqlCommand.MySqlCommand(string, MySqlConnection)' 的查询字符串可能包含以下变量 'sqlStr'。如果其中的任意变量可能来自用户输入，请考虑使用存储过程或参数化 SQL 查询，而不是通过字符串串联来生成查询。 传递给 'publicFun.OssExecuteNonQuery(string)' 中的 'MySqlCommand.MySqlCommand(string, MySqlConnection)' 的查询字符串可能包含以下变量 'sqlStr'。如果其中的任意变量可能来自用户输入，请考虑使用存储过程或参数化 SQL 查询，而不是通过字符串串联来生成查询。 传递给 'Views_ProjectBaseManage_MeasureBaseAdmin_CPIIIPointInfo.DelCP3BList()' 中的 'MySqlCommand.MySqlCommand(string, MySqlConnection)' 的查询字符串可能包含以下变量 'this.Request["CPIIIPoint_RailWayName"]', 'cpiiiPointId'。如果其中的任意变量可能来自用户输入，请考虑使用存储过程或参数化 SQL 查询，而不是通过字符串串联来生成查询。 传递给 'Views_ProjectBaseManage_MeasureBaseAdmin_CPIIIPointInfo.SaveCpiiiPointItem()' 中的 'MySqlCommand.MySqlCommand(string, MySqlConnection)' 的查询字符串可能包含以下变量 'rwbList[0].RWB_RailWayNo', 'this.Request["CPIIIPoint_Name"]', 'cpiiiPointDk', 'cpiiiPointL', 'cpiiiPointB', 'cpiiiPointBuildDate', 'this.Request["CPIIIPoint_BuildDepart"]', 'this.Request["CPIIIPoint_Remark"]', 'rwbList[0].RWB_RailWayNo', 'rwbList[0].RWB_FatherNo', 'cpiiiPointId', 'rwbList[0].RWB_RailWayNo', 'rwbList[0].RWB_Travel', 'cpiiiPointDk', 'cpiiiPointL', 'cpiiiPointB', 'cpiiiPointBuildDate', 'rwbList[0].RWB_RailWayNo', 'rwbList[0].RWB_FatherNo'。如果其中的任意变量可能来自用户输入，请考虑使用存储过程或参数化 SQL 查询，而不是通过字符串串联来生成查询。 传递给 'Views_RailwayDataManage_RailWayFacilitiesAdmin_InputRailEquipInfo.DelRwFacilitiesInputItem()' 中的 'MySqlCommand.MySqlCommand(string, MySqlConnection)' 的查询字符串可能包含以下变量 'obj.RF_StartID', 'obj.RF_EndID', 'obj.RF_StartID', 'obj.RF_EndID', 'obj.RF_StartID', 'obj.RF_EndID', 'obj.RF_StartID', 'obj.RF_EndID', 'obj.RF_StartID', 'obj.RF_EndID', 'obj.RF_RwbNameNo', 'obj.RF_StartID', 'obj.RF_EndID', 'obj.RF_StartID', 'obj.RF_EndID', 'obj.RF_StartID', 'obj.RF_EndID'。如果其中的任意变量可能来自用户输入，请考虑使用存储过程或参数化 SQL 查询，而不是通过字符串串联来生成查询。 可以在方法 'Views_RailwayDataManage_RailWayFacilitiesAdmin_UpLoadRailWayFacilities.CreateCSVfile(DataTable, string)' 中多次释放对象 'sw'。若要避免生成 System.ObjectDisposedException，不应对一个对象多次调用 Dispose。: Lines: 318 可以在方法 'Views_RailwayDataManage_RailWayFacilitiesAdmin_UpLoadRailWayFacilities.ImportMySQL(DataTable, string)' 中多次释放对象 'fs'。若要避免生成 System.ObjectDisposedException，不应对一个对象多次调用 Dispose。: Lines: 261 传递给 'BaseInfoManage_RailwayAdmin_MainRailWayInfo.DropRailWayTable(string)' 中的 'MySqlCommand.MySqlCommand(string, MySqlConnection)' 的查询字符串可能包含以下变量 'rwbNo'。如果其中的任意变量可能来自用户输入，请考虑使用存储过程或参数化 SQL 查询，而不是通过字符串串联来生成查询。 传递给 'BaseInfoManage_RailwayAdmin_MainRailWayInfo.SaveRailWayItems(string, int)' 中的 'MySqlCommand.MySqlCommand(string, MySqlConnection)' 的查询字符串可能包含以下变量 'this.CreateRailWayTable(string.Concat(railWayNo, 48))'。如果其中的任意变量可能来自用户输入，请考虑使用存储过程或参数化 SQL 查询，而不是通过字符串串联来生成查询。 传递给 'BaseInfoManage_RailwayAdmin_MainRailWayInfo.SaveRailWayItems(string, int)' 中的 'MySqlCommand.MySqlCommand(string, MySqlConnection)' 的查询字符串可能包含以下变量 'this.CreateRailWayTable(string.Concat(railWayNo, 57))'。如果其中的任意变量可能来自用户输入，请考虑使用存储过程或参数化 SQL 查询，而不是通过字符串串联来生成查询。 再次引发以保留堆栈详细信息 重复引发捕获的异常时，请使用 IL 再次引发指令保留原始堆栈详细信息。 {0} 再次引发捕获的异常并将其显式地指定为一个参数。请改用不带参数的“throw”以保留该异常最初引发时所在的堆栈位置。 http://msdn.microsoft.com/library/ms182363.aspx [none] Error 不要多次释放对象 可以多次调用正确实现的 Dispose 方法，而不会引发异常。但是，并不保证所有情况下都会如此。若要避免生成 System.ObjectDisposedException，您不应对一个对象多次调用 Dispose。 可以在方法 {1} 中多次释放对象 {0}。若要避免生成 System.ObjectDisposedException，不应对一个对象多次调用 Dispose。: Lines: 318 RuleOwner http://msdn.microsoft.com/library/ms182334.aspx Warning 检查 SQL 查询是否存在安全漏洞 通过用户输入生成的 SQL 命令字符串容易受到 SQL 注入式攻击。Microsoft SQL Server 和其他数据库服务器支持存储过程和参数化 SQL 查询，这将降低受到注入式攻击的风险。 传递给 {1} 中的 {0} 的查询字符串可能包含以下变量 {2}。如果其中的任意变量可能来自用户输入，请考虑使用存储过程或参数化 SQL 查询，而不是通过字符串串联来生成查询。 RuleOwner http://msdn.microsoft.com/library/ms182310.aspx Warning 类别 确定性 全部折叠 检查 ID 错误 错误 全部展开 帮助 行 消息 [位置未存储在 Pdb 中] 项目 解析 规则 规则文件 规则说明 源 状态 目标 警告 警告 代码分析报告