Entity Framework关于SQL注入安全问题
2016-12-14 16:31
274 查看
1、EF生成的sql语句,用 parameter 进行传值,所以不会有sql注入问题
2、EF下有涉及外部输入参数传值的,禁止使用EF直接执行sql命令方式,使用实体 SQL
参考:
https://msdn.microsoft.com/zh-cn/library/cc716760(v=vs.110).aspx
防范 SQL 注入式攻击。
应用程序经常接受外部输入(来自用户或其他外部代理),并根据该输入执行操作。 任何直接或间接从用户或外部代理派生的输入都可能包含使用目标语言的语法来执行未授权操作的内容。 如果目标语言为结构化查询语言 (SQL)(如 Transact-SQL),则此行为被称为 SQL 注入式攻击。 恶意用户可直接向查询中注入命令并删除数据库表、引起拒绝服务或者更改所执行操作的性质。
Entity SQL 注入式攻击:
SQL 注入式攻击在 Entity SQL 中的实施方法是向查询谓词和参数名称中使用的值提供恶意输入。 若要避免 SQL 注入风险,切勿组合用户输入与 Entity SQL 命令文本。
Entity SQL 查询可在任何接受文本的位置接受参数。 应使用参数化查询,而不是将来自外部代理的文本直接注入查询。还应考虑使用查询生成器方法安全地构造 实体 SQL。
LINQ to Entities 注入式攻击:
尽管在 LINQ to Entities 中可以撰写查询,但是要通过对象模型 API 执行。与 Entity SQL 查询不同,LINQ to Entities 查询不使用字符串操作或串联来撰写,所以不易受到传统的 SQL 注入式攻击的影响。
2、EF下有涉及外部输入参数传值的,禁止使用EF直接执行sql命令方式,使用实体 SQL
参考:
https://msdn.microsoft.com/zh-cn/library/cc716760(v=vs.110).aspx
防范 SQL 注入式攻击。
应用程序经常接受外部输入(来自用户或其他外部代理),并根据该输入执行操作。 任何直接或间接从用户或外部代理派生的输入都可能包含使用目标语言的语法来执行未授权操作的内容。 如果目标语言为结构化查询语言 (SQL)(如 Transact-SQL),则此行为被称为 SQL 注入式攻击。 恶意用户可直接向查询中注入命令并删除数据库表、引起拒绝服务或者更改所执行操作的性质。
Entity SQL 注入式攻击:
SQL 注入式攻击在 Entity SQL 中的实施方法是向查询谓词和参数名称中使用的值提供恶意输入。 若要避免 SQL 注入风险,切勿组合用户输入与 Entity SQL 命令文本。
Entity SQL 查询可在任何接受文本的位置接受参数。 应使用参数化查询,而不是将来自外部代理的文本直接注入查询。还应考虑使用查询生成器方法安全地构造 实体 SQL。
LINQ to Entities 注入式攻击:
尽管在 LINQ to Entities 中可以撰写查询,但是要通过对象模型 API 执行。与 Entity SQL 查询不同,LINQ to Entities 查询不使用字符串操作或串联来撰写,所以不易受到传统的 SQL 注入式攻击的影响。
相关文章推荐
- 关于PHP xss 和 SQL 注入的问题
- 关于SQL的安全问题
- 使用LINQ解除SQL注入安全问题
- 关于SQL的安全问题(ftp.exe、cmd.exe的解决方法)
- 使用LINQ解除SQL注入安全问题
- 总结了关于PHP xss 和 SQL 注入的问题(转)
- 使用LINQ解除SQL注入安全问题
- 关于sql备份到其他服务器的问题
- 关于sql备份到其他服务器的问题
- 关于installshieldX的做web安装包发布时候目录安全配置问题
- 关于sql 2005 express 远程访问和sa密码的问题
- 深入探索MS SQL Server 2000网络连接的安全问题
- 一个关于SQL Server Agent的“作业”的问题
- 关于SQL的存储过程一个悬而未决的老问题
- 关于Nhibernate中的hql与sql的转换问题
- 一组关于手持移动设备使用安全问题的统计数据
- 关于在非安全信道中的用户名-密码方式的验证安全问题
- 关于SQL SERVER的一些安全问题(转)
- 关于安全网站总是弹出安全警报问题