完全使用 LinqToSQL 或 Entity Framewok 的项目是否有可能遭受 SQL 注入(inject)的影响。
我认为这可能不是因为 ORM 生成的 SQL 应该是无 sql 注入(inject)的。但我不确定。
最佳答案
当您按预期使用这些框架时,即直接使用实体/表,则不会。所有字符串比较(即 where name = 'smith'
)都是参数化的。
唯一的脆弱点是:
dbContext.ExecuteQuery();
任何一种破坏性的字符串。 关于linq-to-sql - Entity Framework 、LinqToSQL 和 sql 注入(inject),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3473841/