Question

Я делаю эту систему Stacked , и я создаю функцию поиска. И в этом процессе мне приходит в голову, что может AR / nHibernate Expression.Like (и его братья и сестры) могут быть не на 100% "безопасны", так как вы можете создавать такие вещи, как; "\ r \ ndrop database xxx; ---" и подобные вещи ...?

Я ожидаю, что они будут в безопасности, но я не уверен ...

Sean Carpenter · Answer 1 · 02 декабря 2008

NHibernate (и, соответственно, ActiveRecord) генерирует параметризованные операторы SQL в форме sp_executesql 'select blah from table where column = @p1', '@p1 varchar(10)', @p1 = 'drop database xxx;---' для запросов. Эти типы операторов SQL защищены от внедрения SQL, поскольку содержимое параметров не выполняется (в отличие от того, что было бы, если бы использовалась простая конкатенация).

Так что да, оба "в безопасности".

Dustin · Answer 2 · 02 декабря 2008

Если вы обнаружите ошибку безопасности, вам обязательно нужно ее зарегистрировать. Многие полагаются на такие вещи.

Являются ли ActiveRecord / nHibernate SQL поколения "безопасными"?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Являются ли ActiveRecord / nHibernate SQL поколения "безопасными"?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы