Question

Если я хочу получить пользователя с адресом электронной почты 'me@example.com', как мне передать его в качестве параметра в linq?

т.е..

var a = from u in Users
        where u.Email = @email
        Select u;

Так что это будет использоваться в моем методе:

public static GetuserByEmail(string email)

Я просто передаю переменную или?

George Stocker · Answer 1 · 08 апреля 2010

Linq To SQL автоматически обрабатывает защиту от SQL-инъекций. Безопасно передавать параметр в том виде, как он есть у пользователя, если вас беспокоит SQL-инъекция.

Он автоматически параметризует передаваемые вами параметры и очищает их.

Если вы беспокоитесь о XSS, то вы можете Html.Encode() выводить, чтобы убедиться, что он безопасно передан обратно в интерфейс.

public User GetUserByEmail(string email) 
{
    User a = (from u in db.Users
        where u.Email == email
        select u).Single();
    return a;
}

В настоящее время я не нахожусь перед IDE, так что код может быть не полностью синтетически корректным.

Olivier Payen · Answer 2 · 08 апреля 2010

var a = from u in Users
    where u.Email == email
    select u;

Будет отлично работать (LINQ to SQL будет генерировать параметризованный SQL-запрос)

PS: вам нужно два '=' для оператора равенства

как безопасно передать параметр в linq в sql

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

как безопасно передать параметр в linq в sql

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов