收藏本站[收不到邮件][导航]
架构师,致力于程序员计算机编程知识交流的一个平台!

架构师_程序员_码农网

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

架构师_程序员_码农网»架构师 编程开发&Programming .Net/C# EF 6 执行原生 SQL 语句,参数注入问题
返回列表 发新帖
查看: 1288|回复: 2

[资料] EF 6 执行原生 SQL 语句,参数注入问题

[复制链接]
小渣渣
发表于 2023-6-14 21:14:48 | 显示全部楼层 |阅读模式
需求:项目使用 EF ORM 框架对数据库进行增删改查,但是,面对复杂的查询,可能无法使用 Linq、Lambda 更好的查询,需要我们使用 EF 6 执行原生 SQL 语句进行查询。

原始 SQL 查询 (EF6):https://learn.microsoft.com/zh-cn/ef/ef6/querying/raw-sql

由于 SQL 语句需要携带 where 条件,参数值是通过 URL 参数的方式进行传递。


首先,我们 SQL 语句使用字符串拼接的方式进行查询,如下:

QQ截图20230614205648.jpg

代码如下:

可以看到数据库执行的 SQL 语句如下:

SELECT Name FROM [Classification] WHERE Name = '移动开发';select 1;--'

通过拼接 SQL 语句的方式,存在注入风险

我们修改代码,通过参数化查询,以防止 SQL 注入攻击,代码如下:

QQ截图20230614210513.jpg

exec sp_executesql N'SELECT Name FROM [Classification] WHERE Name = @n',N'@n nvarchar(17)',@n=N'移动开发'';select 1;--'

QQ截图20230614211714.jpg


EF Core 不是直接使用拼接的方式处理SQL,而是转化为参数化的SQL语句。参考如下:

EF Core 系列(五)执行 SQL 语句或者视图、存储过程
https://www.itsvse.com/thread-9565-1-1.html

(完)

数据库, ORM, 框架, 安全, ORM




上一篇:感悟:从博客园看到一位博主写的签名
下一篇:使用 SQLMAP 渗透工具 SQL 注入测试

相关帖子

码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
回复

举报

小渣渣
 楼主| 发表于 2023-6-17 11:11:50 | 显示全部楼层
使用 SQLMAP 渗透工具测试 SQL 注入测试
https://www.itsvse.com/thread-10611-1-1.html
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
回复 支持 反对

举报

小渣渣
 楼主| 发表于 2023-6-30 20:47:17 | 显示全部楼层
简写形式

码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
回复 支持 反对

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

免责声明:
码农网所发布的一切软件、编程资料或者文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。
Mail To:help@itsvse.com

QQ|手机版|小黑屋|架构师 ( 鲁ICP备14021824号-2 )|网站地图

GMT+8, 2024-4-27 20:24

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表