只是想知道实体框架是否设置为处理SQL注入的问题?
我看过的每个教程,视频,书籍或博客文章。没有人提到安全性,似乎直接将变量传递给上下文而没有检查等......
只是想知道人们的想法是什么,你如何处理这方面的事情?
答案 0 :(得分:13)
是的,如果您使用LINQ to Entities查询,Entity Framework会处理一些安全问题,例如SQL注入攻击。
在SQL注入的情况下,它通过SQL查询参数来实现。如果您使用Entity SQL命令,则可能存在攻击向量,就像您使用ADO.NET一样。
我不确定其他可能的安全漏洞,但您可以在MSDN上阅读更多信息,并提供一些确保实体框架安全的提示。