gpt4 book ai didi

c# - Entity Framework 函数是否自动转义输入以防止注入(inject)?

转载 作者:太空狗 更新时间:2023-10-30 00:54:56 24 4
gpt4 key购买 nike

Entity Framework 函数是否自动转义输入以防止注入(inject)?

在我的 SQL DB 层中,我有一个将 nvarchar(max) 作为输入的 SPROC。在我的 EDMX 中,SPROC 映射到函数导入为 methodName(string input)我是否需要手动转义输入以防止注入(inject)或 Entity Framework 是否自动执行此操作?

最佳答案

取决于...

EF does escape inputs对你来说,所以在大多数情况下你是安全的。

但是,如果您使用输入在过程中创建动态 SQL,或者使用输入调用另一个函数或过程,您仍然会受到 SQL 注入(inject)攻击。

为了防止 SQL 注入(inject),必须遵循执行路径的最后一部分并确保输入经过验证。

关于c# - Entity Framework 函数是否自动转义输入以防止注入(inject)?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11107456/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com