请参阅以下数据库搜索教程并建议搜索方法是否安全,特别是因为它从文本框获取输入。
Protected Sub btnSubmit_Click(ByVal sender As Object, ByVal e As System.EventArgs) Handles btnSubmit.Click
Dim db As New BlogDBDataContext()
Dim q = From b In db.Blogs _
Where b.BlogContents.Contains(txtSearch.Text.Trim()) Or _
b.BlogTitle.Contains(txtSearch.Text.Trim()) _
Select b
lv.DataSource = q
lv.DataBind()
End Sub
最佳答案
是的,这很安全。除非您自己创建 SQL,否则您不会面临使用 LINQ 的 SQL 注入(inject)攻击的风险,例如,如果您使用 ExecuteQuery
.
关于asp.net - 这种基于 LINQ 的搜索是否可以安全抵御 SQL 注入(inject)/XSS 攻击?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/7645817/