Entity Framework关于SQL注入安全问题

1、EF生成的sql语句，用 parameter 进行传值,所以不会有sql注入问题
2、EF下有涉及外部输入参数传值的，禁止使用EF直接执行sql命令方式,使用实体 SQL

 

参考：

https://msdn.microsoft.com/zh-cn/library/cc716760(v=vs.110).aspx

 

防范 SQL 注入式攻击。

应用程序经常接受外部输入（来自用户或其他外部代理），并根据该输入执行操作。 任何直接或间接从用户或外部代理派生的输入都可能包含使用目标语言的语法来执行未授权操作的内容。 如果目标语言为结构化查询语言 (SQL)（如 Transact-SQL），则此行为被称为 SQL 注入式攻击。 恶意用户可直接向查询中注入命令并删除数据库表、引起拒绝服务或者更改所执行操作的性质。

• Entity SQL 注入式攻击：

  SQL 注入式攻击在 Entity SQL 中的实施方法是向查询谓词和参数名称中使用的值提供恶意输入。 若要避免 SQL 注入风险，切勿组合用户输入与 Entity SQL 命令文本。

  Entity SQL 查询可在任何接受文本的位置接受参数。 应使用参数化查询，而不是将来自外部代理的文本直接注入查询。还应考虑使用查询生成器方法安全地构造 实体 SQL。

• LINQ to Entities 注入式攻击：

  尽管在 LINQ to Entities 中可以撰写查询，但是要通过对象模型 API 执行。与 Entity SQL 查询不同，LINQ to Entities 查询不使用字符串操作或串联来撰写，所以不易受到传统的 SQL 注入式攻击的影响。