SQL Injection и EntityFramework, насколько использование ORM предотвращает такие атаки?

Question

Роман @yarosroman

C# the best

SQL Injection и EntityFramework, насколько использование ORM предотвращает такие атаки?

Насколько использование ORM предотвращает SQL Injection, по идее ORM использует параметризированные запросы и экранирует все спецсимволы, или есть способ провести данную атаку, например при использовании LINQ?

Вопрос задан более трёх лет назад
1355 просмотров

Комментировать

Подписаться 1 Оценить Комментировать

Решения вопроса 1

4 комментария

Роман @yarosroman Автор вопроса

Просто есть Code-First или DB-First модель, интересует именно это, обращение к БД через модель и использование LINQ.

LINQ в первую очередь все таки это отложенное выполнение, например dbset.where не будет всю таблицу тащить, в отличии dbset.ToList().Where

Написано более трёх лет назад
Дмитрий Ковальский @dmitryKovalskiy

Роман: Ну инъекции вы таким методом победите. Если конечно собственным хитрым кодом не пророете тунель под ламаншем. А вот то что вы говорите про "отложенное выполнение" не сходится с моим пониманием LINQ. Во что по вашему разворачивается код типа вашего dbset.where(predicate). В единственный sql запрос?

Написано более трёх лет назад
Роман @yarosroman Автор вопроса

При отложенном выполнении, запрос не будет выполнятся, пока не будет вызвано перечисление коллекции, например через foreach или например методы ToList() или ToEnumerable(). dbset.where(predicate) компилируется в единственный SQL запрос, результаты которого потом возвращаются. Подробнее https://msdn.microsoft.com/ru-ru/library/bb386964(...

то, что запрос выполняется один раз, покажет SQL Server Profiler.

Написано более трёх лет назад
Дмитрий Ковальский @dmitryKovalskiy

Роман: не подумайте что я вас валю или отговариваю. Просто ни я ни мой руководитель не доверяем генерации sql. Да и доступ к базе огорожен анально до хранимых процедур. приложение технически ничего не может сделать с данными кроме того что делают хранимки, а там sql под полным контролем

Написано более трёх лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

PHP

+1 ещё

Простой
Как решить проблему с выводом PHP из MSSQL?
- 1 подписчик
- 19 нояб.
- 133 просмотра
1

ответ
SQL Server

Средний
Изменение hdd для восстановления баз SQL правильно?
- 1 подписчик
- 16 нояб.
- 117 просмотров
2

ответа
ASP.NET

+2 ещё

Сложный
Конфигурация asp.net Identity под существующую базу данных?
- 2 подписчика
- 13 нояб.
- 124 просмотра
0

ответов
SQL Server

Простой
MsSQL ошибка при создание лога транзакций?
- 1 подписчик
- 12 нояб.
- 60 просмотров
2

ответа
SQL Server

Средний
Как почистить базу sql?
- 1 подписчик
- 10 нояб.
- 91 просмотр
4

ответа
C#

+1 ещё

Простой
Как правильно разделить логику между контроллерами с usecases?
- 1 подписчик
- 09 нояб.
- 70 просмотров
1

ответ
ASP.NET

+1 ещё

Простой
Почему не удается подключиться к веб серверу?
- 1 подписчик
- 31 окт.
- 63 просмотра
1

ответ
SQL Server

Простой
Почему Rebuild index очень долго ждем прежде чем стартануть?
- 1 подписчик
- 28 окт.
- 48 просмотров
0

ответов
ASP.NET

+1 ещё

Простой
Замена файла после скачивания?
- 3 подписчика
- 25 окт.
- 531 просмотр
0

ответов
C#

+1 ещё

Простой
Как сгенерировать 404 из view в asp.net core?
- 1 подписчик
- 18 окт.
- 114 просмотров
2

ответа
Показать ещё Загружается…

CRM Dynamics 365 Разработчик

SKL Group • Санкт-Петербург

от 300 000 ₽

Fullstack разработчик

Терра Ассистанс • Москва

от 150 000 ₽

C# .net developer Junior+

TechCrew

До 35 000 ₽

Поправить сайт (мобильная версия) на WordPress

24 нояб. 2024, в 04:16

5000 руб./за проект

Необходимо поменять пароль в WINDOWS

24 нояб. 2024, в 03:11

500 руб./за проект

Требуется консультация по UX-дизайну казино

24 нояб. 2024, в 01:35

5000 руб./за проект

Answer 1 · 2015-08-27 18:03:53

Все зависит от того что на что вы мапите. В идеальном случае - полностью. По факту - вы можете замапить некую хранимку, которая принимает некий строковый параметр,а внутри себя делает
exec(@query)
И вот тут у вас будет потенциальная инъекция прямо в базе.
C ORM вообще и EF+LINQ в частности проблема другая - если вы будете на сервер приложения тащить всю таблицу, а уже потом ее фильтровать и сортировать. А может и искать по ней - то это будет адски медленно и нудно. Получится бутылочное горлышко, которое не переживет нагрузку.

SQL Injection и EntityFramework, насколько использование ORM предотвращает такие атаки?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт