Entity Framework关于SQL注入安全问题

1、EF生成的sql语句,用 parameter 进行传值,所以不会有sql注入问题
2、EF下有涉及外部输入参数传值的,禁止使用EF直接执行sql命令方式,使用实体 SQL

 

参考:

https://msdn.microsoft.com/zh-cn/library/cc716760(v=vs.110).aspx

 

防范 SQL 注入式攻击。

应用程序经常接受外部输入(来自用户或其他外部代理),并根据该输入执行操作。 任何直接或间接从用户或外部代理派生的输入都可能包含使用目标语言的语法来执行未授权操作的内容。 如果目标语言为结构化查询语言 (SQL)(如 Transact-SQL),则此行为被称为 SQL 注入式攻击。 恶意用户可直接向查询中注入命令并删除数据库表、引起拒绝服务或者更改所执行操作的性质。

  • Entity SQL 注入式攻击:

    SQL 注入式攻击在 Entity SQL 中的实施方法是向查询谓词和参数名称中使用的值提供恶意输入。 若要避免 SQL 注入风险,切勿组合用户输入与 Entity SQL 命令文本。

    Entity SQL 查询可在任何接受文本的位置接受参数。 应使用参数化查询,而不是将来自外部代理的文本直接注入查询。还应考虑使用查询生成器方法安全地构造 实体 SQL

  • LINQ to Entities 注入式攻击:

    尽管在 LINQ to Entities 中可以撰写查询,但是要通过对象模型 API 执行。与 Entity SQL 查询不同,LINQ to Entities 查询不使用字符串操作或串联来撰写,所以不易受到传统的 SQL 注入式攻击的影响。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值