Подвержен ли LINQ to SQL InsertOnSubmit () атаке с использованием SQL-инъекции?

У меня такой код:

var newMsg = new Msg
{
    Var1 = var1,
    Var2 = var2
};

using (AppDataContext appDataContext = new AppDataContext(ConnectionString))
{
    appDataContext.CClass.InsertOnSubmit(newMsg);
    appDataContext.SubmitChanges();
}

После прочтения эта почта я считаю, что применима та же логика.

Кто-нибудь думает, что это подвержено атаке с использованием SQL-инъекции?

c# .net linq-to-sql sql-injection
13.10.2008 01:56
Стоит ли изучать PHP в 2026-2027 годах?
Стоит ли изучать PHP в 2026-2027 годах?
Привет всем, сегодня я хочу высказать свои соображения по поводу вопроса, который я уже много раз получал в своем сообществе: "Стоит ли изучать PHP в...
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
Поведение ключевого слова "this" в стрелочной функции в сравнении с нормальной функцией
В JavaScript одним из самых запутанных понятий является поведение ключевого слова "this" в стрелочной и обычной функциях.
Приемы CSS-макетирования - floats и Flexbox
Приемы CSS-макетирования - floats и Flexbox
Здравствуйте, друзья-студенты! Готовы совершенствовать свои навыки веб-дизайна? Сегодня в нашем путешествии мы рассмотрим приемы CSS-верстки - в...
Тестирование функциональных ngrx-эффектов в Angular 16 с помощью Jest
В системе управления состояниями ngrx, совместимой с Angular 16, появились функциональные эффекты. Это здорово и делает код определенно легче для...
Концепция локализации и ее применение в приложениях React ⚡️
Концепция локализации и ее применение в приложениях React ⚡️
Локализация - это процесс адаптации приложения к различным языкам и культурным требованиям. Это позволяет пользователям получить опыт, соответствующий...
Пользовательский скаляр GraphQL
Пользовательский скаляр GraphQL
Листовые узлы системы типов GraphQL называются скалярами. Достигнув скалярного типа, невозможно спуститься дальше по иерархии типов. Скалярный тип...
0
0
2 384
3
Перейти к ответу Данный вопрос помечен как решенный

Ответы 3

Ответ принят как подходящий

Второй ответ в сообщении, на которое вы ссылаетесь, гласит:

LINQ to SQL uses execute_sql with parameters.

Он не объединяет значения свойств в один большой INSERT ... VALUES ('...', '...')

Я не уверен, что это так ... это просто параметризованная команда. execute_sql используется, чтобы сделать то же самое из в пределах TSQL.

Marc Gravell 13.10.2008 08:12

Параметризованный ввод пользователя защищен от инъекций. Инъекционные атаки применяются только тогда, когда пользовательский ввод объединен.

David Nelson 21.05.2009 22:03
13.10.2008 02:04

Нет, но вы все равно должны проверять данные пользователя.

13.10.2008 02:53

Базовая операция DataContext осуществляется через SqlCommand, который использует параметризованный SQL.

Итак, ваш оператор вставки будет выглядеть так:

INSERT INTO [MSG] [Var1] = @p1, [Var2] = @p2
13.10.2008 03:39

Другие вопросы по теме

Что такое компонент
Сохранение XML-данных в пользовательских настройках
Визуальное наследование или пользовательский элемент управления?
Как передать окно владельца в MessageBox.Show в другом потоке?
Зачем использовать окно владельца в MessageBox.Show?
Создание COM-интерфейсов в .NET
C# проверьте, открыт ли уже COM (последовательный) порт
Защищенное паролем развертывание .NET ClickOnce?
Можно ли иметь две формы на странице с помощью ASP.NET MVC?
Ошибка TransactionScope в .NET? Больше информации?

Похожие вопросы

Сохранение XML-данных в пользовательских настройках
Я не могу подключиться к своему серверу через Интернет
Сохранение значения C# DateTimeOffset в базе данных SQL Server 2005
Создание COM-интерфейсов в .NET
ASP.NET Photo API (Shutterfly и т. д.)
Bidi-ассоциации и отображение NHibernate
Как получить список доступных COM-интерфейсов в Windows
C# проверьте, открыт ли уже COM (последовательный) порт
Как мне получить доступ к IMetaDataEmit и другим COM-интерфейсам MetaData из C# или F#?
Ошибка TransactionScope в .NET? Больше информации?