Entity Framework中的字符串插值引发担忧
来源:互联网 发布:linux 自动启动服务 编辑:程序博客网 时间:2024/05/23 20:42
将内插字符串(Interpolated Strings)自动地转化为参数化SQL语句,这是Entity Framework Core 2提供的一个新特性。虽然该特性从设计上是为了避免出现SQL语句编写上的问题,但是有人担心这会导致更多的SQL注入攻击。
下面给出一个正确工作的字符串插值例子:
var city = "Redmond";context.Customers.FromSql($"SELECT * FROM Customers WHERE City = {city}");SELECT * FROM Customers WHERE City = @p0a
我们对此稍作更改,下面的代码就不工作了:
var city = "Redmond";var sql = $"SELECT * FROM Customers WHERE City = {city}";context.Customers.FromSql(sql);SELECT * FROM Customers WHERE City = Redmond
这是因为后者将表达式存储在本地变量中,这一简单操作完全地更改了代码的行为。
为推本溯源,我们需要理解C#中“$"
”表达式的事实真实行为。乍一看,表达式仅是将内插字符串转换为一个正常的String.Format
调用。但事实上,它还做了一些额外的工作。
本质上,“$"
”表达式是FormattableString的一个子类。对象中包含字符串格式化表达式以及所有需要填充的值。对象在传递给EF Core的FromSql(FormattableString)方法后,会执行必要的替换,并得到了参数化的SQL表达式。
问题在于,编译器并不愿意直接操作FormattableString。除非我们将“$"
”表达式直接指定为一个FormattableString类型的变量或参数,否则表达式将立刻被转换为字符串。在正常情况下,这是一种良性更改,因为我们希望最终能给出字符串格式。
不幸的是,在EF Core中,会丢失全部有意义的信息,Entity Framework使用这些信息对SQL语句参数化。此外一旦发生错误,EF Core并不会给出任何编译器告警或是其它的指示信息。因此如果开发人员试图“清理”代码,这类软件缺陷就很容易混入到应用中。
如要深入了解EF Core使用字符串插值可导致SQL注入攻击这一问题,可从GitHub下载Nick Craver给出的“EFCoreInjectionSample”例子代码,也可以看一下他发布在ASP.NET Monster上的一个幻灯片,名为“EF Core 2.0中的SQL注入攻击”(SQL Injection attacks in Entity Framework Core 2.0)。
原文地址:http://www.infoq.com/cn/news/2017/09/EF-Core-2.0-4
.NET社区新闻,深度好文,微信中搜索dotNET跨平台或扫描二维码关注
- Entity Framework中的字符串插值引发担忧
- Entity Framework中的事务
- 关于Entity Framework中的CreatedTime
- Entity Framework 中的Code First
- angularjs插值字符串
- angularjs插值字符串
- Sass-字符串插值
- 关于Entity Framework 学习中的POCO
- Entity Framework在三层架构中的使用
- Entity Framework中的批量提交与事务处理
- Entity Framework中的批量提交与事务处理
- 浅谈Entity Framework中的数据加载方式
- Entity Framework 中的Code First 介绍
- 学习Entity Framework 中的Code First
- 学习Entity Framework 中的Code First
- 浅析Entity Framework Core中的并发处理
- Scala 字符串插值: s插值
- Entity FrameWork
- python脚本工作实例
- A Closer Look At Hub, Switch And Router
- Kotlin中的“==”和“===”
- python 操作mysql数据库
- web前端的一些小知识
- Entity Framework中的字符串插值引发担忧
- Java多线程系列--“JUC集合”03之 CopyOnWriteArraySet
- ASP.NET Core 运行原理剖析
- WebSocket In ASP.NET Core(二)
- asp.net core AuthenticationMiddleware 在WebApi中的的使用
- Configuration Extensions
- 手把手教你使用spring cloud+dotnet core搭建微服务架构:服务治理(-)
- 为什么你需要将代码迁移到ASP.NET Core 2.0?
- 基于Office 365的随需应变业务应用平台