个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
24
4
我正在使用 Microsoft 的 MVC 和所有其他相关技术为 DoD 开展一个项目。出于安全目的,我必须遵循安全技术实现指南 (STIG)。
在version 3, Release 9, section 3.10.1 , 表示
Allow access to the database through views no directly to underlying tables in the database.
和
(APP3540.4: CAT II) The Designer will ensure the application does not directly access the tables in a database.
我可以将 Entity Framework 与 LINQ 一起使用吗?
最佳答案
这是一个直接link到 STIG。这是一个旧版本,但我正在查看最新版本,它们完全相同。我认为文本已经很多年没有改变了,这很不幸,因为它不是很清楚。规则标题说使用参数化语句(我将其视为任何 CRUD 操作),但也不提供对表的直接访问。
Entity Framework 向数据库发送参数化查询,这是一种直接访问的形式。我觉得不安全吗?绝对不。但有人可能会争辩说 STIG 说不要这样做。问题是 STIG 还说使用存储过程代替直接访问,但如果编写不正确,您也很容易遇到 SQL 注入(inject)漏洞。
我的解释?最后,重点是解决 SQL 注入(inject)问题,因此只要您使用参数化查询(即 EF、Dapper、ADO.NET 等)或编写适当的存储过程来缓解这种情况,就应该没问题。
关于c# - Entity Framework with LINQ 是否符合此 STIG?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27256801/
24
4
0
给出数据库表中的以下信息: Col 1, Col2, Col3 1 , x , G 1 , y , H 2 , z , J 2 , a , K 2 , a
linq 的一般缺点是什么。 最佳答案 刚开始使用时可能很难理解 延迟执行可以将错误与其原因(在时间方面)分开 进程外 LINQ(例如 LINQ to SQL)总是有点漏洞百出的抽象——你需要知道什么
当我使用 LINQ Where 子句时,返回的项目列表是否遵循它们在原始列表中的顺序? 最佳答案 这取决于被查询的集合如何拥有它的 GetEnumerator被执行。如 GetEnumerator按照
在 Linq 中进行连接时,例如 from c in customers join x in somelistofcustomers on x.Id equals c.Id 你会得到错误 x is n
我正在使用 LINQ 来查询数据。考虑用户只想报告 3 个字段中的 1 个的情况? (见下文) 谁能告诉我如何动态构建查询? 谢谢 DD var query = from cl in db.t
假设我们有下表: Person: PersonID, Name, Age, Gender 并且我们提供了一个搜索功能,允许用户根据名称 来搜索表。和/或 年龄。 编写 SQL(或 LI
这应该很容易。 我要检查两个列表是否相同,因为它们包含所有相同的元素,顺序不重要。 重复的元素被认为是相等的,即new[]{1,2,2}与new[]{2,1}相同 最佳答案 var same = li
假设我有一个数组,我想对varchar进行LINQ查询,该查询返回在varchar中任何位置具有数组元素的任何记录。 这样的事情会很甜蜜。 string[] industries = { "airli
我正在努力寻找 LINQ orderby 示例,其中数据按列索引排序。这是可能的吗? 谢谢 最佳答案 LINQ 中没有列这样的概念,只有字段和属性。您的意思可能是在您创建的匿名类型中指定属性的索引:
我有一个类项目。 class Item{ public int Id { get; set; } public DateTime CreatedDate { get;
我有一张 table 叫做产品。我想获取 productID 为 2 OR 6 OR 9 的所有产品 SQL 是:Select * from products where productID=2 OR
使用时 Contains对于 Linq-to-objects 上的动态 Linq,搜索区分大小写。我希望能够搜索不区分大小写的(如 Linq-to-sql,因为 SQL 服务器默认执行此操作)。 就像
有人能告诉我如何将此查询转换为 linq 吗? SELECT dpr_ts ,dpr_close ,nvl((SELECT pay.pay_dividend
我正在使用linq to实体(EF)。 我有一个采用4个字符串参数的构造函数。根据什么参数不为null,我必须构建linq查询。我可以使用if else语句,但是在这种情况下,我还有其他带有10个参数
下面是我的代码的简化版本。我希望 p1和 p2是平等的,还有p1_after和 p2_after是相等的,因为 GetPerson1() 之间的唯一区别是和 GetPerson2()是 .ToList
关闭。这个问题是opinion-based .它目前不接受答案。 想改善这个问题吗?更新问题,以便可以通过 editing this post 用事实和引文回答问题. 7年前关闭。 Improve t
我看到一些代码是 linq 用于遍历 c# 中的字典对象。我认为 linq 只是用于 linq 到 sql 的数据库。提到的代码中使用的 linq 是一个选择类型的语句,只是没有数据库。 有没有 li
我刚刚开始在一个中型项目中使用LINQ to SQL,并且想加深我对L2S提供的优势的理解。 我看到的一个缺点是它增加了另一层代码,我的理解是,它的性能比使用存储过程和ADO.Net慢。似乎调试也可能
可绑定(bind) LINQ 和连续 LINQ 之间的主要区别是什么? •可绑定(bind)LINQ:www.codeplex.com/bindablelinq • 连续 LINQ:www.codep
Linq 中没有内置全文搜索,而且似乎没有很多关于该主题的帖子,所以我玩了一下,并为我的实用类想出了这个方法: public static IEnumerable GenericFullTextSea
我是一名优秀的程序员,十分优秀!