我正在建立一个IQueryable我应用相关过滤器的地方,我在这里遇到了这行代码.
IQueryable
items = items.OrderBy(string.Format("{0} {1}", sortBy, sortDirection));
这段代码容易受到SQL注入吗?或者在幕后参数化这些(字符串)参数?我假设所有的Linq查询都为我进行了转义和参数化,但是我能够像这样直接传入一个字符串的事实让我失望了.
c# sql entity-framework sql-injection
c# ×1
entity-framework ×1
sql ×1
sql-injection ×1