gpt4 book ai didi

security - Entity Framework 安全和注入(inject)

转载 作者:行者123 更新时间:2023-12-04 06:38:21 24 4
gpt4 key购买 nike

我在我的应用程序中使用 EF。
我必须使用 EF 中的任何安全性或注入(inject)模式吗?

最佳答案

EF 自动使用参数化查询,不存在 sql 注入(inject)风险。

这并不是说它会自动使您的应用程序安全。

Web 应用程序中需要的主要安全功能之一是确保保护您公开的任何“直接对象引用”。

让我们看一个示例 url,假设您完成了购物车交易,这是您结束的页面:

/viewmyorder.aspx?id=20

如果您将 url 中的 id 更改为 19、18 或 17,您也许可以查看其他客户的订单。

请记住,在您的任何代码中,“不要信任用户输入”,数据库 key 是篡改的主要候选者。

每当您基于表单帖子、url 键/值或 cookie 检索项目时,请确保您验证当前用户是否有权访问该项目。

关于security - Entity Framework 安全和注入(inject),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4593895/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com