代码之家  ›  专栏  ›  技术社区  ›  Carlos Muñoz Boom

实体框架、LinqToSQL和sql注入

sql-injection entity-framework linq-to-sql
  •  5
  • Carlos Muñoz Boom  · 技术社区  · 14 年前

    完全使用LinqToSQL或Entity Framewok的项目是否可能遭受SQL注入的影响。

    2 回复  |  直到 14 年前
        1
  •  10
  •   p.campbell    14 年前

    当您按预期使用这些框架时,即直接使用实体/表,则不使用所有字符串比较(即。 where name = 'smith' )是参数化的。

    唯一的弱点是:

    • 任何字符串都可以直接针对上下文执行。 dbContext.ExecuteQuery(); 用任何破坏性的绳子。

    • 使用给定的任何参数执行动态SQL的存储过程

        2
  •  3
  •   KristoferA    14 年前

    “视情况而定”。

    针对L2S或EF实体的普通LINQ查询是注入安全的,但您始终可以调用不安全的存储过程或函数。

    这显然是一种边缘情况,但人们编写开放注入的SPs/函数(在proc中用参数值组成字符串中的SQL)时确实发生了这种情况。

    推荐文章
    Pablo  ·  为什么POST-request方法返回null,但GET-request返回正确的对象
    2 年前
    Drago  ·  Linq通过比较Id和具有Id的对象列表来查询获取列表
    2 年前
    Niyazi Babayev  ·  如何在表达式中动态应用表达式?
    2 年前
    Dāvis ZemÄ«tis  ·  使用多对多时如何将dto映射到业务对象
    2 年前
    Mere Mortal  ·  是dbContext。SaveChanges()是否足以保存多个表的所有3个操作、插入、更新和删除?
    2 年前
    Jacques  ·  存储库模式中的管道和过滤器模式返回“不包含X的定义…需要IQueryable<Y>
    2 年前
    Murat Güzel  ·  EF存储库模式错误{'Id'}已被跟踪
    2 年前
    dotnetdevcsharp  ·  减少基于数据类型获取设置的方法数量
    2 年前
    saravanan049  ·  在实体框架中回滚Azure SQL数据库
    2 年前
    maraaaaaaaa Luka Kostic  ·  自定义实体Id数据类型在插入时失败
    2 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号