SQL Injection и EntityFramework, насколько использование ORM предотвращает такие атаки?

Question

Роман @yarosroman

C# the best

SQL Injection и EntityFramework, насколько использование ORM предотвращает такие атаки?

Насколько использование ORM предотвращает SQL Injection, по идее ORM использует параметризированные запросы и экранирует все спецсимволы, или есть способ провести данную атаку, например при использовании LINQ?

Вопрос задан более трёх лет назад
1342 просмотра

Комментировать

Подписаться 1 Оценить Комментировать

Решения вопроса 1

4 комментария

Роман @yarosroman Автор вопроса

Просто есть Code-First или DB-First модель, интересует именно это, обращение к БД через модель и использование LINQ.

LINQ в первую очередь все таки это отложенное выполнение, например dbset.where не будет всю таблицу тащить, в отличии dbset.ToList().Where

Написано более трёх лет назад
Дмитрий Ковальский @dmitryKovalskiy

Роман: Ну инъекции вы таким методом победите. Если конечно собственным хитрым кодом не пророете тунель под ламаншем. А вот то что вы говорите про "отложенное выполнение" не сходится с моим пониманием LINQ. Во что по вашему разворачивается код типа вашего dbset.where(predicate). В единственный sql запрос?

Написано более трёх лет назад
Роман @yarosroman Автор вопроса

При отложенном выполнении, запрос не будет выполнятся, пока не будет вызвано перечисление коллекции, например через foreach или например методы ToList() или ToEnumerable(). dbset.where(predicate) компилируется в единственный SQL запрос, результаты которого потом возвращаются. Подробнее https://msdn.microsoft.com/ru-ru/library/bb386964(...

то, что запрос выполняется один раз, покажет SQL Server Profiler.

Написано более трёх лет назад
Дмитрий Ковальский @dmitryKovalskiy

Роман: не подумайте что я вас валю или отговариваю. Просто ни я ни мой руководитель не доверяем генерации sql. Да и доступ к базе огорожен анально до хранимых процедур. приложение технически ничего не может сделать с данными кроме того что делают хранимки, а там sql под полным контролем

Написано более трёх лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

SQL Server

+1 ещё

Простой
Резервное копирование журнала транзакции ms sql. Автоматически. Растет журнал транзакций. Сжатие это удаление?
- 2 подписчика
- вчера
- 135 просмотров
2

ответа
Docker

+1 ещё

Простой
Как на asp .net 7 подключить ssl для https протокола?
- 3 подписчика
- вчера
- 482 просмотра
1

ответ
SQL Server

+1 ещё

Простой
Какой вариант демонстрации проекта оптимальный?
- 1 подписчик
- 13 апр.
- 68 просмотров
2

ответа
C#

+1 ещё

Простой
Почему некорректно работает параметр маршрутизатора Razor Pages?
- 1 подписчик
- 11 апр.
- 57 просмотров
1

ответ
ASP.NET

+2 ещё

Сложный
Как отправить html шаблон с svg на gmail через aws?
- 5 подписчиков
- 11 апр.
- 3094 просмотра
1

ответ
C#

+3 ещё

Простой
Как решить проблему подключения БД к WPF проекту?
- 1 подписчик
- 11 апр.
- 100 просмотров
2

ответа
ASP.NET

Простой
Почему шаблонная страница открывается на пол экрана?
- 1 подписчик
- 10 апр.
- 58 просмотров
1

ответ
SQL Server

Простой
Почему не получается присоединить базу к действующей Always on group?
- 1 подписчик
- 05 апр.
- 15 просмотров
0

ответов
ASP.NET

+1 ещё

Простой
Как исправить ошибки SqliteException: SQLite Error 19: 'UNIQUE constraint failed: AspNetUsers.NormalizedUserName' и DbUpdateException?
- 1 подписчик
- 03 апр.
- 51 просмотр
1

ответ
ASP.NET

Простой
В чем причина исключение FormatException?
- 1 подписчик
- 02 апр.
- 59 просмотров
2

ответа
Показать ещё Загружается…

С# developer

Монополия • Санкт-Петербург

от 87 000 до 87 000 ₽

Backend Developer C#

Enqo • Москва

от 200 000 ₽

Backend разработчик C# (.Net)

FS Travel

от 200 000 до 250 000 ₽

Необходимо сверстать приложение согласно макету Figma используя React

26 апр. 2024, в 22:22

1500 руб./за проект

Написать модуль подключения матрицы Sony к ПЛИС (Verilog)

26 апр. 2024, в 21:30

15000 руб./за проект

8266 f12 требуется сделать ревью и оптимизировать работу

26 апр. 2024, в 20:42

2000 руб./за проект

Answer 1 · 2015-08-27 18:03:53

Все зависит от того что на что вы мапите. В идеальном случае - полностью. По факту - вы можете замапить некую хранимку, которая принимает некий строковый параметр,а внутри себя делает
exec(@query)
И вот тут у вас будет потенциальная инъекция прямо в базе.
C ORM вообще и EF+LINQ в частности проблема другая - если вы будете на сервер приложения тащить всю таблицу, а уже потом ее фильтровать и сортировать. А может и искать по ней - то это будет адски медленно и нудно. Получится бутылочное горлышко, которое не переживет нагрузку.

SQL Injection и EntityFramework, насколько использование ORM предотвращает такие атаки?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт