c# - Entity Framework 函数是否自动转义输入以防止注入(inject)？-6ren

c# - Entity Framework 函数是否自动转义输入以防止注入(inject)？

转载作者：太空狗更新时间：2023-10-30 00:54:56

24

4

Entity Framework 函数是否自动转义输入以防止注入(inject)？

在我的 SQL DB 层中，我有一个将 nvarchar(max) 作为输入的 SPROC。在我的 EDMX 中，SPROC 映射到函数导入为 methodName(string input)我是否需要手动转义输入以防止注入(inject)或 Entity Framework 是否自动执行此操作？

最佳答案

取决于...

EF does escape inputs对你来说，所以在大多数情况下你是安全的。

但是，如果您使用输入在过程中创建动态 SQL，或者使用输入调用另一个函数或过程，您仍然会受到 SQL 注入(inject)攻击。

为了防止 SQL 注入(inject)，必须遵循执行路径的最后一部分并确保输入经过验证。

关于c# - Entity Framework 函数是否自动转义输入以防止注入(inject)？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/11107456/

24

4

0

文章推荐： c# - 使用向下箭头键滚动的 WPF DataGrid 行为异常

文章推荐： Python dateutil 日期转换

文章推荐： python - 高级 : How to use href in Jinja2

文章推荐： c# - 如何从kinect深度数据中确定 "real world"x,y坐标？

entity-framework - Entity Framework : Assign entity to property of another entity
我有这些实体(这只是我为这篇文章创建的抽象): 语言区说明这些是它们之间的引用: 区 * - 1 语言说明 * - 1 语言区 1 - 1 说明如果我这样取: var myFetch =
hibernate - 非法状态异常 : Error occurred while storing entity An entity copy was already assigned to a different entity
经过大量谷歌搜索后，除了降级 hibernate 版本之外，我没有找到问题的答案。但我在 2003 年类似的帖子中遇到了这种情况。问题是什么: //in the first session I d
entity-framework - Entity Framework 使用 linq to entities？
我听说过 linq to entities 。 Entity Framework 是利用linq to entities吗？最佳答案 LINQ to Entities 是 Entity Framew
entity-framework - Entity Framework - 我应该如何实例化我的 "Entities"对象
我是 Entity Framework 和 ASP.Net MVC 的新手，主要从教程中学习，对任何一个都没有深入了解。 (我确实有 .Net 2.0、ADO.Net 和 WebForms 方面的经验
entity-framework - LINQ to Entities 查询最终是否会转换为 Entity SQL？
如果我编写 LINQ to Entities 查询，该查询是否会转换为提供程序理解的 native 查询(即 SqlClient)？或者它是否会转换为实体 SQL，然后 Entity Framew
entity-framework - Entity Framework : Querying Child Entities
这个问题已经有答案了: EF: Include with where clause [duplicate] (5 个回答) 已关闭 2 年前。看来我无法从数据库中获取父级及其子级的子集。例如...
C++结构:ENTITY entity=ENTITY::CURRENT，什么意思？
我开始在一家新公司工作，我必须在一个旧项目上使用 C++ 工作。所以，我忘记了一些 C++ 本身的代码结构。在一个函数中，我在一个函数中有双冒号::，但我不知道如何理解它。例如，我知道如果我有 EN
entity-framework - Entity Framework : LINQ to Entities only supports casting Entity Data Model primitive types
我写了一个方法来允许为 orderby 子句传递一个表达式，但我遇到了这个问题。 Unable to cast the type 'System.DateTime' to type 'System.I
entity-framework - LINQ to Entities 和 Entity Framework 有什么区别？
简单的问题:LINQ to Entities 和 Entity Framework 有什么区别？到目前为止，我认为这两个名称是用来描述同一个查询的，但我开始觉得事实并非如此。最佳答案 Entity
entity-framework - Entity Framework : Add Properties/Entities during runtime
我想使用 Entity Framework 。但是，我还要求允许我的用户在我们的系统中定义自定义字段。我想仍然使用 Entity Framework ，而不是使用具有哈希表属性的分部类。下面是我想到
entity-framework - "Entity Tracked by Context"在 Entity Framework 中是什么意思
我正在阅读这个 E.F. 团队博客的这个系列 http://blogs.msdn.com/b/adonet/archive/2011/01/27/using-dbcontext-in-ef-featu
entity-framework - Entity Framework : Sharing entities across different DbContexts
我正在使用 EF6 开发插件应用程序，代码优先。我有一个名为 User 的实体的主要上下文。 : public class MainDataContext : DbContext { pub
entity-framework - Entity Framework - 错误 11007 : Entity type is not mapped.
当我得到最后的 .edmx 时，我遇到了问题。我收到一条消息说错误 11007:未映射实体类型“pl_Micro”。查看设计器 View ，我确实看到该表确实存在。我怎样才能克服这个消息？最
entity-framework - 通过带有 Where 子句的 Entity Framework 通过 Linq To Entities 进行左外连接
我已阅读与使用 Entity Framework 时在 Linq to Entities (.NET 3.5) 中实现等效的 LEFT OUTER JOIN 相关的所有帖子，但尚未找到解决以下问题的方
entity-framework-4 - Entity Framework 中的组合问题 4 : The entity is currently read-only
使用 WCF RIA 服务和 Entity Framework 4. 我有 3 个 DTO:学校、州、区。州 DTO 有一个地区属性(property)，其构成。学校 DTO 有一个国家属性(pro
entity-framework-4 - Entity Framework : How to get the EntitySetName of a TPT or TPH Entity
我有一个 Employee 实体，它继承自一个继承自 Resource 实体(Employee -> Person -> Resource)的 Person 实体。是否可以通过编程方式获取 Emplo
java - 如何最好地有效处理 List、List、List？
我有一个使用 JPA 的 java 应用程序。假设我有一个名为 Product 的实体与 name和 price属性(所有实体都有一个 id 属性)。自然我可以得到一个List相当容易(来自查询或
entity-framework - Entity Framework外键代码第一次迁移错误
我有一个 Entity Framework 类，其中有两个指向另一个对象的引用 public class Review { [Key] public int Id {get;s
entity - 交响乐2 : Location of Entities
我是 Symfony 2 的新手，我想知道一些事情: 假设我的项目中有 2 个 bundle 。我想在两个包中使用从我的数据库生成的实体。我应该在哪里生成实体？ (对我来说，最好的方法是在 bund
entity-framework - Entity Framework 4 : Access current datacontext in partial entity class
我想在具有方法和属性的部分类中扩展 EF 实体。我经常这样做。但是现在我需要将来自该实体的数据与来自其他实体的数据结合起来。因此，我需要能够访问实体 objectcontext(如果附加)来进行这些

首页

博学

6Ren·AI

商城

c# - Entity Framework 函数是否自动转义输入以防止注入(inject)？