[英]Is LINQ to SQL InsertOnSubmit() subject to SQL Injection Attack?
我有這樣的代碼:
var newMsg = new Msg
{
Var1 = var1,
Var2 = var2
};
using (AppDataContext appDataContext = new AppDataContext(ConnectionString))
{
appDataContext.CClass.InsertOnSubmit(newMsg);
appDataContext.SubmitChanges();
}
閱讀這篇文章后,我相信同樣的邏輯也適用。
有人認為這會受到SQL注入攻擊嗎?
您所引用的帖子中的第二個答案是這樣的:
LINQ to SQL使用execute_sql和參數。
它不會將屬性值連接為一個大INSERT ... VALUES('...','...')
DataContext的基礎操作是通過使用參數化SQL的SqlCommand進行的。
因此,您的插入語句將如下所示:
INSERT INTO [MSG] [Var1] = @p1, [Var2] = @p2
否,但是無論如何您應該驗證用戶數據。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.