那些遇到过的问题

LINQ to Entities和SQL Injection

chr*_*ris 10 security linq-to-entities sql-injection

我看过几篇关于L2E是否容易受到SQL注入影响的文章.

来自MSDN:

尽管在LINQ to Entities中可以进行查询组合,但它是通过对象模型API执行的.与实体SQL查询不同,LINQ to Entities查询不是使用字符串操作或连接组成的,并且它们不易受传统SQL注入攻击的影响.

这是否意味着存在可能有效的"非传统"攻击? 本文有一个非参数化查询的例子 - 可以安全地假设,如果通过变量传入用户提供的数据,它将被参数化吗?

如果我做:

from foo in ctx.Bar where foo.Field = userSuppliedString select foo;
Run Code Online (Sandbox Code Playgroud)

我安全吗?

Cra*_*ntz 9

在您的示例中,您使用的是变量(userSuppliedString),因此它将被参数化.

如果您的代码中有文字值:

from foo in ctx.Bar where foo.Field == "Hi" select foo;
Run Code Online (Sandbox Code Playgroud)

...然后EF 1不会对它进行参数化,但是SQL注入也没有危险,因为它是一个文字.

归档时间:

查看次数:

2014 次

最近记录:

14 年,10 月 前
相关归档
如何使用java.security.KeyStore类存储和加载密钥 24
调用j_spring_security_logout不起作用 20
实体框架中的GROUP和SUM 14
为什么重复子串的密码很弱? 8
Oracle DBMS_ASSERT 的 Sql Server 等效项是什么? 5
Java身份验证的替代方法是什么? 5
图像清理库 5
如何加载本地json文件? 2
无法登录RabbitMQ管理Web控制台 2
添加“跳过”引发异常:方法“跳过”仅支持 LINQ to Entities 中的排序输入 1
难疑归档
如何删除远程标签? 3121
在函数中使用全局变量 2939
ListView中的图像延迟加载 1881
如何从git repo中删除文件? 1795
如何检查SQL Server表中是否存在列? 1792
配置错误:此配置部分不能在此路径中使用 1694
你如何存放未跟踪的文件? 1287
jQuery document.createElement等价? 1226
为特定提交生成git补丁 1144
如何在Ruby on Rails中获取当前的绝对URL? 1030