Tag: dynamic linq

dynamicLINQ可以注入吗?

使用dynamicLINQ库( 链接 ),是否容易注入? (如果是的话)如何防范呢? 安全考虑(entity framework)的一些背景: LINQ to Entities注入攻击: 尽pipe查询组合在LINQ to Entities中是可能的,但它是通过对象模型API执行的。 与实体SQL查询不同,LINQ to Entities查询不是使用string操作或串联组成的,而且它们不易受传统SQL注入攻击的影响。 由于dynamicSQL是使用string组成的,这是否意味着它可能容易受到注入向量? 或者,LINQ to SQL会根据Dynamic LINQ库中的基础数据types自动处理参数化值? 或者它是完全安全的,因为dynamic查询将在内存中执行,而不是针对SQL(从而否定SQL索引的好处)? 我一直在通过理解DynamicLibrary.cs代码,但我相信我可以轻松地忽略一些东西。 由于这个问题是关于dynamicLINQ库本身,这个问题可以被认为适用于linq-to-sql和linq-to-entities (尽pipe上面引用了entity framework)。