c# - LINQ to SQL InsertOnSubmit() は SQL インジェクション攻撃の対象ですか?

Question

次のようなコードがあります。

var newMsg = new Msg
{
    Var1 = var1,
    Var2 = var2
};

using (AppDataContext appDataContext = new AppDataContext(ConnectionString))
{
    appDataContext.CClass.InsertOnSubmit(newMsg);
    appDataContext.SubmitChanges();
}

この投稿を読んだ後、同じ論理が当てはまると思います。

これがSQLインジェクション攻撃の対象だと思う人はいますか?

score 5 · Accepted Answer

参照している投稿の2番目の回答は次のように述べています。

LINQ to SQL では、execute_sqlをパラメーターと共に使用します。

プロパティ値を 1 つの大きな INSERT ... VALUES('...', '...') に連結しません。

score 3 · Accepted Answer

DataContext の基本的な操作は、パラメータ化された SQL を使用する SqlCommand によるものです。

したがって、挿入ステートメントは次のようになります。

INSERT INTO [MSG] [Var1] = @p1, [Var2] = @p2

score 1 · Accepted Answer

1

いいえ。ただし、とにかくユーザーデータを検証する必要があります。

于 2008-10-12T22:53:40.083 に答える

c# - LINQ to SQL InsertOnSubmit() は SQL インジェクション攻撃の対象ですか?

3 に答える 3

Related

Reference