Entity Framework Core: Wie sicher sind Ausdrücke aus der SQL -Injektion? - Programmiererforum

Entity Framework Core: Wie sicher sind Ausdrücke aus der SQL -Injektion? ⇐ C#

Post Reply Previous topic Next topic

1 post • Page 1 of 1

Anonymous

Entity Framework Core: Wie sicher sind Ausdrücke aus der SQL -Injektion?

Post by Anonymous » 24 Feb 2025, 10:52

Ich recherchiere nach Möglichkeiten, um die SQL -Injektion bei der Verwendung von Entity Framework Core ORM zu verhindern. Die meisten Blogs und Quellen zitieren offizielle Microsoft -Dokumentation, dass der beste Weg darin besteht, Werte zu beruhigen, interpolierte Zeichenfolgen zu verwenden und Benutzer analysieren/zu überprüfen, die die Werte angeben, bevor sie in Abfragen verwendet werden. Ich habe eine Antwort auf meine Frage gefunden, wie sicher es ist, die Ausdrucksbaumkonstruktion zu verwenden. Und das ist auch der Grund für diesen Beitrag, weil ich auch kein Problem gefunden habe, aber ich könnte aus meiner Unerfahrenheit in dieser Angelegenheit sprechen. < /P>
Zum Beispiel ist dies ein < strong> unsicher Weg zum Erstellen von SQL-Abfrage:
public List GetFilteredBlogs(string filterField, string filterValue)
{
List blogs = context.Blogs
.FromSqlRaw($"select * from Blogs where {filterField} = {filterValue}");
return blogs;
}
< /code>
Und dies wäre ein Abfrageäquivalent unter Verwendung der Ausdruckskonstruktion: < /p>
public List GetFilteredBlogs(string filterField, string filterValue)
{
ParameterExpression entity = Expression.Parameter(typeof(Blog));
MemberExpression entityProperty = Expression.Property(entity, filterField);
ConstantExpression valueConstant = Expression.Constant(filterValue);
BinaryExpression equal = Expression.Equal(entityProperty, valueConstant);
LambdaExpression filter = Expression.Lambda(equal, entity);

List blogs = context.Blogs.Where(filter);

return blogs;
}
< /code>
Dies ist ein sehr einfaches Beispiel, sollte aber gut mit meiner Frage funktionieren. Warum wird dies nicht häufiger gegen SQL -Injektionen eingesetzt, wenn dynamische Abfragen benötigt werden? Ich kann sehen, dass dies missbraucht werden kann, wenn jemand die vollständige SQL -Abfrage in den Ausdrucksbaum umwandeln möchte. Wenn jedoch mit einfachen Werten und spezifischen Abfragenkonstruktionen verwendet werden, ist es vielleicht sogar besser, als mit den Eingängen der Benutzer bereitzustellen. >
Ich bin mir bewusst, dass in diesem Beispiel der Benutzer aus Blogs -Tabellen auf jede Spalte zugreifen kann, aber sagen wir, es spielt keine Rolle, oder es würde Schutz geben, für die Spalten zugänglich sind. < /p>
Danke Sie für Ihre Antworten und Ihre Zeit.

1740390747

Anonymous

Ich recherchiere nach Möglichkeiten, um die SQL -Injektion bei der Verwendung von Entity Framework Core ORM zu verhindern. Die meisten Blogs und Quellen zitieren offizielle Microsoft -Dokumentation, dass der beste Weg darin besteht, Werte zu beruhigen, interpolierte Zeichenfolgen zu verwenden und Benutzer analysieren/zu überprüfen, die die Werte angeben, bevor sie in Abfragen verwendet werden. Ich habe eine Antwort auf meine Frage gefunden, wie sicher es ist, die Ausdrucksbaumkonstruktion zu verwenden. Und das ist auch der Grund für diesen Beitrag, weil ich auch kein [url=viewtopic.php?t=11587]Problem[/url] gefunden habe, aber ich könnte aus meiner Unerfahrenheit in dieser Angelegenheit sprechen. < /P>
Zum Beispiel ist dies ein < strong> unsicher  Weg zum Erstellen von SQL-Abfrage: 
public List GetFilteredBlogs(string filterField, string filterValue)
{
List blogs = context.Blogs
.FromSqlRaw($"select * from Blogs where {filterField} = {filterValue}");
return blogs;
}
< /code>
Und dies wäre ein Abfrageäquivalent unter Verwendung der Ausdruckskonstruktion: < /p>
public List GetFilteredBlogs(string filterField, string filterValue)
{
ParameterExpression entity = Expression.Parameter(typeof(Blog));
MemberExpression entityProperty = Expression.Property(entity, filterField);
ConstantExpression valueConstant = Expression.Constant(filterValue);
BinaryExpression equal = Expression.Equal(entityProperty, valueConstant);
LambdaExpression filter = Expression.Lambda(equal, entity);

List blogs = context.Blogs.Where(filter);

return blogs;
}
< /code>
Dies ist ein sehr einfaches Beispiel, sollte aber gut mit meiner Frage funktionieren. Warum wird dies nicht häufiger gegen SQL -Injektionen eingesetzt, wenn dynamische Abfragen benötigt werden? Ich kann sehen, dass dies missbraucht werden kann, wenn jemand die vollständige SQL -Abfrage in den Ausdrucksbaum umwandeln möchte. Wenn jedoch mit einfachen Werten und spezifischen Abfragenkonstruktionen verwendet werden, ist es vielleicht sogar besser, als mit den Eingängen der Benutzer bereitzustellen. >
Ich bin mir bewusst, dass in diesem Beispiel der Benutzer aus Blogs -Tabellen auf jede Spalte zugreifen kann, aber sagen wir, es spielt keine Rolle, oder es würde Schutz geben, für die Spalten zugänglich sind. < /p>
Danke Sie für Ihre Antworten und Ihre Zeit.

Post Reply Previous topic Next topic

1 post • Page 1 of 1

Quick Reply

Username:

Change Text Case:

Smilies

View more smilies

Similar Topics

Replies

Views

Last post

Entity Framework 6 und Mühe (Entity Framework Unit Testing Tool) System.ArgumentException: String kann keine Nulllänge h

Last post by Anonymous « 16 Mar 2025, 15:14
Posted in C#

by Anonymous » 16 Mar 2025, 15:14 » in C#

Ich versuche derzeit, einen Einheit /Integrationstest zu schreiben, indem ich den Anbieter von Memory -Datenbank unter Verwendung eines Memory -Datenbankanbieters zu schreiben habe. Entity Framework...

0 Replies

12 Views

Last post by Anonymous
16 Mar 2025, 15:14
Ist es möglich, die Reihenfolge anzugeben, in der außer Operationen im SQL -Server mithilfe von Entity Framework Core au

Last post by Anonymous « 21 May 2025, 14:08
Posted in C#

by Anonymous » 21 May 2025, 14:08 » in C#

Ich möchte den folgenden Vorgang im SQL -Server mit dem Entity Framework Core (8.0.10) ausführen:
A EXCEPT (B EXCEPT C)

Ich versuche diese Abfrage zu schreiben:
a.Except(b.Except(c))

Aber EF...

0 Replies

0 Views

Last post by Anonymous
21 May 2025, 14:08
Entity Framework Core: LINQ-Abfrage mit OrderByDescending- und Navigationseigenschaften kann nicht in SQL übersetzt werd

Last post by Guest « 25 Jan 2025, 17:01
Posted in C#

by Guest » 25 Jan 2025, 17:01 » in C#

Ich begegne den folgenden Fehler, während ich versuche, eine Linq -Abfrage auszuführen. Ich muss alle Chats für den aktuellen Benutzer zusammen mit der letzten Meldung (bestellt von erstellt) in...

0 Replies

14 Views

Last post by Guest
25 Jan 2025, 17:01
Entity Framework Core: „SqlNullValueException: Daten sind Null.“ Wie kann ich Fehler beheben?

Last post by Anonymous « 27 Dec 2024, 11:21
Posted in C#

by Anonymous » 27 Dec 2024, 11:21 » in C#

Ich verwende Entity Framework Core in einer ASP.NET Core-Anwendung und Controller-Aktion und habe weder am Arbeitscode noch an der Datenbank etwas geändert, kann aber nicht sagen, welche Abfrage von...

0 Replies

6 Views

Last post by Anonymous
27 Dec 2024, 11:21
Wie aktualisiere ich den Entity Framework Core DbContext des ASP.NET Core-Projekts, wenn die Verbindungszeichenfolge in

Last post by Guest « 21 Dec 2024, 11:54
Posted in C#

by Guest » 21 Dec 2024, 11:54 » in C#

Ich habe ein ASP.NET Core 8-Projekt mit Entity Framework Core. Die Verbindungszeichenfolge wird aus web.config im Stammordner übernommen. Beim Debuggen in Visual Studio 2022 habe ich Hot Reload...

0 Replies

19 Views

Last post by Guest
21 Dec 2024, 11:54

Return to “C#”