2
私はEF 4を使用して文字列のクエリを実行します。何か案は ?Entity Frameworkのと生の文字列クエリSQLインジェクションの防止
A
答えて
5
あなたはパラメータ化クエリを使用する必要があります。
// Build where clause
var filters = new StringBuilder();
var parameters = new List<object>();
if (!string.IsNullOrEmpty(name))
{
if (filters.Length > 0)
filters.Append(" AND ");
filters.Append("name = @name");
var param = new SqlParameter("@name", SqlDbType.NVarChar);
param.Value = name;
parameters.Add(param);
}
...
// Build query
string query = "SELECT * FROM Table";
if (filters.Length > 0)
query = query + " WHERE " + filters;
// Execute
db.ExecuteStoreQuery<TAble>(query, parameters.ToArray()).ToList();
1
SqlCommandをビルドしたときと同じ方法でそれを防止します。あなたはクエリをパラメータ化し、最後のパラメータのコレクションをExecuteStoreQueryメソッドの2番目の引数として渡します(値だけを渡すと、EFはパラメータを作成しますが、クエリに正しい順序で渡す必要があります)。
関連する問題
- 1. Entity Framework + SQLインジェクション
- 2. 防止SQLインジェクションとのSqlDataAdapter
- 3. MS Access - 接続文字列のSQLインジェクションを防止する
- 4. PHP SQLインジェクション防止構文
- 5. SQLインジェクションの防止方法
- 6. フォームデータ:防止SQLインジェクション
- 7. SQLインジェクションの防止 - mybatisとspring
- 8. PHP防止SQLインジェクション/ XSS
- 9. PHP SQLインジェクション防止技術
- 10. SQLインジェクション防止用パッケージ
- 11. c#to PHP SQLインジェクション防止
- 12. ストアドプロシージャでのSQLインジェクションの防止
- 13. Entity Frameworkのロックテーブルの無効化/防止
- 14. Entity Framework - コンテキストでのキャッシュの防止
- 15. SQLインジェクションの挿入を防止する
- 16. ストアドプロシージャによるSQLインジェクションの防止
- 17. rubyスクリプトによるSQLインジェクションの防止
- 18. Entity Frameworkのコードファーストと接続文字列
- 19. C#とEntity Frameworkのソート文字列
- 20. C#Entity Frameworkの全文検索のSQL文字列形式
- 21. SQL Server - SQLインジェクションを防止する
- 22. Raw SQLクエリとEntity Frameworkコア
- 23. SQLインジェクションのURLクエリ文字列をフィルタリングする - PHP
- 24. Entity Frameworkのユニークキーの文字列
- 25. Entity Frameworkの接続文字列のエラー
- 26. execまたはexecuteでクエリにSQLインジェクションを防止する
- 27. PHPとMySQLのSQLインジェクションのログインページの防止
- 28. PHP、SQLインジェクションのエスケープ文字列
- 29. Codeigniter RestFul library SQLインジェクションを防止する
- 30. SQLインジェクション防止:最大対策