【发布时间】:2015-06-08 05:47:15
【问题描述】:
MVC.Net 是否有任何系统可以防止 SQL 注入攻击,或者我应该在我的代码中手动检查它?
【问题讨论】:
-
SQL 注入通常在应用的 ORM 层处理。大多数现代 ORM 提供针对 SQL 注入的默认保护(通常通过参数化查询或存储过程)。如果可能,您不应该尝试推出自己的查询文本搜索解决方案;它充满了边缘情况。
-
我有自己的
ORM。我的问题是,我应该在我的ORM或MVC上检查注入本身是否有一些系统,例如在razor或controller级别上进行验证以防止注入? -
下面的查询和这个很相似,stackoverflow.com/questions/9079400/…
-
我不相信 MVC 对 SQL 注入保护有任何本机支持(它不应该因为它远远超出 MVC 的预期范围)。 MVC 确实具有脚本注入保护机制,但这是一个单独的问题。您的 ORM 是否通过连接从网页回发或查询字符串获得的字符串值来创建 SQL 语句?
-
我认为
Sql Injection可以在视图级别进行验证。所以可能是MVC.Net,它为输入创建了一些验证,也有类似注射验证的东西。在我的ORM中,主要方法与SP一起使用,但其中一些方法会创建字符串查询。
标签: sql asp.net-mvc security