LINQ-To-SQL, SQL Enjeksiyonlarını nasıl önler?

Question

Şu anda C# ve LINQ-TO-SQL ile bir proje yapıyorum. Bu projenin güvenliği yüksek önceliklidir, bu yüzden SQL-Enjections'ı engellemek istiyorum. Konuya dikkat ettim, ama işe yaramadı. Microsoft'un kendi SSS'si, LINQ'un parametreleri işleme biçiminden dolayı, LINQ kodunun bir hata ayıklayıcısında üretildiğini ve LINQ-To-SQL'in yalnızca SQL'e nasıl bağlandığı hakkında biraz bilgi sahibi olmasından dolayı, Enjeksiyonların sorun olmayacağını söyledi. bunun nasıl uygulandığından emin olabilirsiniz.

Bu konuyla ilgilenen herhangi bir literatür/bağlantı var mı?

Answer 1

Linq otomatik SQLParameters kullanır SQL

var sql = "SELECT * FROM [dbo].[Orders] WHERE [CustomerName] = @name"; 

(ve name gelen değere sahip bir parametre @name ekleyin): Elbette çok doğru yukarıdaki parametre cinsinden olabilir. Kullanıcı girişi, sadece birleştirilmiş bir dizge olmak yerine, parametre değerlerine çevrilir (SQL enjeksiyonlarına izin verir). Bu serveride, IIRC olur, bu yüzden sadece istemci taraf kodunu görüyorsunuz. Biraz daha arka plan ve bilgi istiyorsanız, the information here'u okuyabilirsiniz.

Answer 2

Oldukça basit, gerçekten - çeviri onları parametrelendirmeden değişkenleri hiçbir zaman enjekte etmez; böylece:

var orders = from ord in ctx.Orders 
      where ord.CustomerName = name 
      select ord; 

hale gelecektir: p0 daha fazla name

yakalanan şey, hiçbir şey az alınan değere sahip bir parametredir

SELECT * FROM [dbo].[Orders] WHERE [CustomerName] = @p0 

. Ancak bu, enjeksiyon saldırılarını önler. Bir yanlış kazara için Kontrast: büyük riskler getirmektedir

var sql = "SELECT * FROM [dbo].[Orders] WHERE [CustomerName] = '" + name + "'"; 

.

Answer 3

Paremetre edilmiş sorgular kullanır. http://www.devx.com/dotnet/Article/34653/1954