yarosroman
@yarosroman
C# the best

SQL Injection и EntityFramework, насколько использование ORM предотвращает такие атаки?

Насколько использование ORM предотвращает SQL Injection, по идее ORM использует параметризированные запросы и экранирует все спецсимволы, или есть способ провести данную атаку, например при использовании LINQ?
  • Вопрос задан
  • 1317 просмотров
Решения вопроса 1
@dmitryKovalskiy
программист средней руки
Все зависит от того что на что вы мапите. В идеальном случае - полностью. По факту - вы можете замапить некую хранимку, которая принимает некий строковый параметр,а внутри себя делает
exec(@query)
И вот тут у вас будет потенциальная инъекция прямо в базе.
C ORM вообще и EF+LINQ в частности проблема другая - если вы будете на сервер приложения тащить всю таблицу, а уже потом ее фильтровать и сортировать. А может и искать по ней - то это будет адски медленно и нудно. Получится бутылочное горлышко, которое не переживет нагрузку.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы