那些遇到过的问题

OData关注SQL注入

lio*_*art 8 c# linq asp.net-mvc ado.net odata

假设我有一个充满健康记录和ASP.NET MVC应用程序的数据库.假设某人使用URL"/ api/medicalRecords?$ filter = id gt 0"来调用Ajax请求.在我看来,这对SQL注入是开放的 - 就像10 - 15年前一样......

这是否意味着它是通过标准的SQL注入开放,还是依赖于服务器端(我使用IQueryable结果和实体框架4)?

我知道认证机制是必要的 - 但是为了这个问题,假设没有可用的认证机制......

Rad*_*ler 6

试着阅读这篇博文,其中提供了有关OData和SQL注入的非常详细的信息:

http://kscottmorrison.com/tag/sql-injection/

...当然,OData是数据源连接,因此注入不是问题 - 只需先掌握它就足够了.所以对OData来说至关重要的是严格管理这个连接能做什么......

M.B*_*ock 5

WCF数据服务将参数化您的过滤器中的值,从而消除了SQL注入的可能性。

我建议查看在数据库探查器中执行的实际SQL查询。

归档时间:

查看次数:

4016 次

最近记录:

12 年,4 月 前
相关归档
从Web.Config读取变量 89
在C#中使用SHA1算法进行哈希处理 66
在C#中是否有类似Dictionary <>的类,但对于只是键,没有值? 55
是否对Ajax中的POST数据大小有任何限制? 17
与jquery ajax序列化的模型绑定无法正常工作 10
在会话过期的事件? 9
ASP.NET MVC:访问集合中项目的ModelMetadata 7
SSIS如何管理关闭连接?我可以强行吗? 5
EF4创建自定义DbFactoryProvider和其他Db*类 3
如何在ADO.NET Entity Framework中使用预先加载对相关实体进行排序 2
难疑归档
何时在Java中使用LinkedList而不是ArrayList? 2974
为什么我不应该在PHP中使用mysql_*函数? 2432
如何在Python中连接两个列表? 2250
数据绑定如何在AngularJS中运行? 1924
使用jQuery中止Ajax请求 1775
如何为C#Auto-Property提供默认值? 1773
Facebook如何禁用浏览器的集成开发人员工具? 1652
match_parent和fill_parent有什么区别? 1371
如何加入(合并)数据框(内部,外部,左侧,右侧)? 1155
什么是(功能)反应式编程? 1149