我正在尝试将XML列添加到我的一个关键表中,以便保存敏感数据。我无法使用Entity Framework查询这些xml记录,因此我的计划是使用Stored Procedures包含xpath查询来查询它们,然后通过Entity Framework调用SP。
我不知道xpath 和 xpath注入的安全风险。有关于此的任何经验吗?
答案 0 :(得分:2)
如果您不信任用户提供任意XPath表达式,则不要相信它们使用字符串连接提供您替换为XPath表达式的字符串。使用包含外部变量(参数)的XPath表达式,并允许它们提供参数值。 (并非所有XPath API都允许这样做,我担心我不知道实体框架是什么)。