Каков риск безопасности при использовании xpath?

Question

Я пытаюсь добавить столбец XML в одну из моих критических таблиц, чтобы сохранить конфиденциальные данные. Я не могу запрашивать эти записи XML с помощью Entity Framework, поэтому я планирую запросить их с помощью хранимых процедур, содержащих запросы xpath, а затем вызвать SP с помощью Entity Framework.

Я не знаю о безопасности риски xpath и xpath инъекции . Есть опыт?

Answer 1

Если вы не доверяете пользователю в предоставлении произвольного выражения XPath, не доверяйте ему в предоставлении строки, которую вы подставили в выражение XPath с помощью конкатенации строк.Используйте выражение XPath, содержащее внешние переменные (параметры), и разрешите им предоставлять значения параметров.(Не все API-интерфейсы XPath допускают это, и, боюсь, я понятия не имею, что такое Entity Framework).