Ця стаття є дзеркальною статтею машинного перекладу, будь ласка, натисніть тут, щоб перейти до оригінальної статті.

Architect_Programmer_Code Сільськогосподарська мережа»Архітектор Програмування .Net/C # EF 6 виконує нативні SQL-оператори, задачі ін'єкції параметрів
Вид: 3928|Відповідь: 3

[Джерело] EF 6 виконує нативні SQL-оператори, задачі ін'єкції параметрів

[Копіювати посилання]
Опубліковано 14.06.2023 21:14:48 | | | |
Вимоги: Проєкт використовує фреймворк EF ORM для додавання, видалення, модифікації та перевірки бази даних, але через складні запити може бути неможливо використовувати Linq і Lambda для кращих запитів, тому потрібно використовувати EF 6 для виконання нативних SQL-операторів для запитів.

Сирий SQL-запит (EF6):Вхід за гіперпосиланням видно.

Оскільки SQL-оператори повинні нести умову where, значення параметра передається через параметр URL.


По-перше, наш SQL-оператор використовує конкатенацію рядків для запиту, наступним чином:



Код виглядає так:

Ви можете побачити SQL-оператори, які виконує база даних, наступним чином:

ВИБРАТИ Назву З [Класифікація] ДЕ Ім'я = 'Мобільна розробка'; оберіть 1; --'

ПеревалСплайсинг SQL-операторів ризикує ін'єкцією

Ми модифікували код, щоб запобігти атакам SQL-ін'єкцій, параметризуючи запити, і код виглядає так:



виконавчий sp_executesql N'SELECT Name FROM [Classification] WHERE Name = @n',N'@n nvarchar(17)', @n=N'Mobile Dev''; оберіть 1; --'




Замість прямого використання сплайсингу EF Core перетворює його у параметризовані SQL-оператори. Джерела наведені нижче:

EF Core Series (5) виконує SQL-оператори або перегляди, збережені процедури
https://www.itsvse.com/thread-9565-1-1.html

(Кінець)





Попередній:Інсайт: Я побачив підпис блогера з блог-саду
Наступний:Використовуйте інструмент SQLMAP infiltration для тестування SQL injection

Пов'язані дописи
 Орендодавець| Опубліковано 17.06.2023 11:11:50 |
Тестування SQL-ін'єкцій за допомогою інструменту проникнення SQLMAP
https://www.itsvse.com/thread-10611-1-1.html
 Орендодавець| Опубліковано 30.06.2023 20:47:17 |
Стенографічна форма

 Орендодавець| Опубліковано 02.01.2025 12:10:38 |
[Справжній бій]. Генератор запитів NET/C# SQL на основі sqlkata
https://www.itsvse.com/thread-10370-1-1.html
Застереження:
Усе програмне забезпечення, програмні матеріали або статті, опубліковані Code Farmer Network, призначені лише для навчання та досліджень; Вищезазначений контент не повинен використовуватися в комерційних чи незаконних цілях, інакше користувачі несуть усі наслідки. Інформація на цьому сайті надходить з Інтернету, і спори щодо авторських прав не мають до цього сайту. Ви повинні повністю видалити вищезазначений контент зі свого комп'ютера протягом 24 годин після завантаження. Якщо вам подобається програма, будь ласка, підтримуйте справжнє програмне забезпечення, купуйте реєстрацію та отримайте кращі справжні послуги. Якщо є будь-яке порушення, будь ласка, зв'яжіться з нами електронною поштою.
Mail To:help@itsvse.com