代码之家 › 专栏 › 技术社区 › theJ

防止API被SQL注入

asp.net-core c#

2

theJ · 技术社区 · 6 年前

我正在创建一个API,下面的方法在查询参数或所有人员中按其名称获取人员。但是,是否 [FromQuery(Name = "name")] 防止SQL注入,不确定这是否是.NET Core 2.2的默认功能?

[HttpGet]
public IActionResult GetStaff([FromQuery(Name = "name")] string firstName)
{
    if (firstName == null)
    {
       //get all staff
       var staff = _repo.GetAllStaff().ToList();
       return Ok(staff);
    }

    if (firstName != null)
    {
       //get staff by firstName
       var staffByName = _repo.GetStaffByName(firstName).ToList();
       return Ok(staffByName);
    }

    return BadRequest("No staff found");
}

存储库中的方法

    public IEnumerable<ApiStaff> GetStaffByName(string name)
    {
        var staffName = _context.ApiStaff.Where(k => k.FirstName == name);
        return staffName;
    }

1 回复 | 直到 6 年前

1

2

Alex KeySmith 6 年前

但从命名约定来看,您的问题不清楚您是否使用了诸如实体框架之类的ORM。 _context 还有LINQ查询的位置,我猜你在哪里。

实际上,ASP.NET核心没有内置的SQL注入预防功能 Asp.net core does not have request validation built into it anymore .

但是,使用 ORM has some natural SQL injection prevention :

Linq to Entities注入攻击:

尽管在LINQtoEntities中查询组合是可能的,但是通过对象模型API执行。与实体SQL查询不同, Linq to Entities查询不是通过使用字符串操作组成的或者连接,它们不受传统SQL的影响注射攻击。

如果您选择直接在ORM中执行SQL,则情况并非如此,因此这取决于您如何使用它。

安全性应被视为“深度防御”,在应用程序的每个层或边界添加缓解技术。

用例的一个简单示例可以将名字约束为合理的值,例如不超过x个字符(30?)。没有数字等,不过说起来容易做起来难。 internationalization 因此,即使在实体框架中发现了一个弱点,您也只能给攻击者一个有限的字符集来攻击您,从而挫败攻击者。

我建议你阅读 OWASP's cheat sheet

推荐文章

Robert King · Unity C#语法问题-转换位置

1 年前

JBryanB · 如何从基本抽象类访问类属性

1 年前

Anders Sewerin Johansen · 使用Moq提供一个利用mock的具体对象

1 年前

Community wiki · 基于两个参数在文本框中使用上下文键自动完成?

1 年前

Community wiki · SqlConnections,Parallel.For,一个旧的C#应用程序,初始化SqlConnections时随机挂起

1 年前

kling · LINQ生成的IEnumerable与原始列表之间的关系是什么?[副本]

2 年前

Adil15 · 以下方法和属性之间的调用不明确-Linq和MoreLinq

2 年前

law · 检查答案按钮的输入字符串格式不正确

2 年前

Laurian Avrigeanu · 如何执行嵌套的ContextMenu实现?

2 年前

i_sniff_ket · 在unity之外使用unity类

2 年前

关于移动版

代码之家 - 一站式码农服务社区

沪ICP备11025650号