activerecord/nhibernate SQL Generation "Safe"입니까?
https://stackoverflow.com/questions/332833
-
22-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian문제
나는이 시스템을하고있다 쌓여 그리고 검색 기능을 만들고 있습니다. 그리고 그 과정에서 그것은 나에게 일어난다 아마도 Ar/nhibernate expression.like (및 형제 자매)는 아마도 100% "안전하지 않을 수 있습니다. " r ndrop 데이터베이스 xxx; ---"그리고 비슷한 것들 ...?
나는 그들이 안전 할 것으로 기대하지만 확실하지 않습니다 ...
해결책
nhibernate (및 Extension ActiveRecord별로) 양식의 매개 변수화 된 SQL 문을 생성합니다. sp_executesql 'select blah from table where column = @p1', '@p1 varchar(10)', @p1 = 'drop database xxx;---' 쿼리를 위해. 이러한 유형의 SQL 문은 매개 변수의 내용이 실행되지 않기 때문에 SQL 주입으로부터 안전합니다 (간단한 연결을 사용하는 경우와 달리).
그렇습니다. 둘 다 "안전합니다".
다른 팁
보안 버그를 찾으면 확실히 제출해야합니다. 많은 사람들이 그런 것들에 의존합니다.
제휴하지 않습니다 StackOverflow
