考虑一个典型的Breeze控制器,它将查询结果限制为登录用户有权访问的实体。当浏览器调用SaveChanges时,Breeze是否在服务器上验证报告为已修改的实体是否来自原始集?
换句话说,EFContextProvider(在实体框架中)是否跟踪已分发的实体,因此它可以检查传递给SaveChanges的恶意数据?或者BeforeSaveEntity是否需要验证用户是否有权访问已更改的实体?
答案 0 :(得分:1)
您必须防范 BeforeSaveEntity 或 BeforeSaveEntities 方法中的恶意数据。
EFContextProvider将跟踪已经分发的实体的想法可能是我们不想做的事情,因为