我在申请中使用EF 我必须使用EF中的安全或注射模式吗?
答案 0 :(得分:4)
EF自动使用paramaterised查询,没有sql注入的风险。
这并不是说它会自动使您的应用程序安全。
Web应用程序中需要的主要安全功能之一是确保您保护所公开的任何“直接对象引用”。
让我们拿一个样本网址,说你完成了购物车交易,这是你结束的页面:
/viewmyorder.aspx?id=20
如果您将网址中的ID更改为19,或18或17,则可以查看其他客户的订单。
请记住,在任何代码中,“不要信任用户输入”,数据库密钥是篡改的主要候选者。
无论何时您根据表单帖子,网址键/值或Cookie检索项目,请确保验证当前用户是否有权访问该项目。