Ez a cikk egy tükör gépi fordítás, kérjük, kattintson ide, hogy ugorjon az eredeti cikkre.

Architect_Programmer_Code Mezőgazdasági Hálózat»Építész Programozás .Net/C # Az EF 6 natív SQL utasításokat hajt végre, paraméterbehüccsenzés problémákat
Nézet: 3928|Válasz: 3

[Forrás] Az EF 6 natív SQL utasításokat hajt végre, paraméterbehüccsenzés problémákat

[Linket másol]
Közzétéve 2023. 06. 14. 21:14:48 | | | |
Követelmények: A projekt az EF ORM keretrendszert használja az adatbázis hozzáadására, törlésére, módosítására és ellenőrzésére, de összetett lekérdezések esetén nem feltétlenül lehet Linq és Lambda használatával jobb lekérdezésekhez, ezért az EF 6-ot kell használni natív SQL utasítások végrehajtásához lekérdezésekhez.

Raw SQL lekérdezés (EF6):A hiperlink bejelentkezés látható.

Mivel az SQL utasításoknak a where feltételt kell hordozniuk, a paraméterértéket az URL paraméteren keresztül továbbítják.


Először is, az SQL utasításunk string összekötést használ a lekérdezéshez, a következők szerint:



A kódex a következő:

Az adatbázis által végrehajtott SQL utasításokat az alábbiak szerint láthatod:

VÁLASSZ NEVET [Osztályozás] AHOL Név = 'Mobil Fejlesztés'; 1-es válasz; --'

HágóAz SQL utasítások szépítésének módja veszélyben van a beinjekció kockázatának

A kódot módosítottuk, hogy megelőzzük az SQL injekciós támadásokat a lekérdezések paraméterezésével, és a kód a következő:



exec sp_executesql N'SELECT Name FROM [Osztályozás] WHERE Name = @n',N'@n nvarchar(17)', @n=N'Mobile Dev''; 1-es válasz; --'




Az EF Core ahelyett, hogy közvetlenül használná a splicinget, azt paraméterezett SQL utasításokká alakítja át. A hivatkozások a következők:

Az EF Core Series (5) SQL utasításokat vagy nézeteket, tárolt eljárásokat hajt végre
https://www.itsvse.com/thread-9565-1-1.html

(Vége)





Előző:Insight: Láttam egy blogger aláírását a blogkertből
Következő:Használd az SQLMAP beszivárgás eszközt, SQL injekciós tesztelést

Kapcsolódó bejegyzések
 Háziúr| Közzétéve 2023. 06. 17. 11:11:50 |
SQL injekciós tesztelés SQLMAP infiltrációs eszközzel
https://www.itsvse.com/thread-10611-1-1.html
 Háziúr| Közzétéve 2023. 06. 30. 20:47:17 |
Gyorsírás forma

 Háziúr| Közzétéve 2025. 01. 02. 12:10:38 |
[Valódi harc]. NET/C# SQL lekérdezésgenerátor sqlkata alapján
https://www.itsvse.com/thread-10370-1-1.html
Lemondás:
A Code Farmer Network által közzétett összes szoftver, programozási anyag vagy cikk kizárólag tanulási és kutatási célokra szolgál; A fenti tartalmat nem szabad kereskedelmi vagy illegális célokra használni, különben a felhasználók viselik az összes következményet. Az oldalon található információk az internetről származnak, és a szerzői jogi vitáknak semmi köze ehhez az oldalhoz. A fenti tartalmat a letöltés után 24 órán belül teljesen törölni kell a számítógépéről. Ha tetszik a program, kérjük, támogassa a valódi szoftvert, vásároljon regisztrációt, és szerezzen jobb hiteles szolgáltatásokat. Ha bármilyen jogsértés történik, kérjük, vegye fel velünk a kapcsolatot e-mailben.
Mail To:help@itsvse.com