Уязвимости nHibernate

Question

Мы используем nhibernate уже почти год. Я хотел бы знать, есть ли какие-либо уязвимости, которые можно внедрить (например, SQL-инъекция и т. Д.) С помощью веб-приложения. Я просто хочу обезопасить любую инъекцию nhibernate через веб-приложение, если оно есть.

Answer 1

Я думаю, что одно из требований правильного менеджера OR / M - убедиться, что все запросы, которые могут быть выполнены с помощью менеджера OR / M, должным образом защищены от внедрения SQL.

NHibernate генерирует параметризованные запросы для SQL Server, поэтому это безопасно.

Конечно, я не знаю, как генерируют другие провайдеры (для других СУБД) ...

Answer 2

Как сказал Фредерик, запросы параметризованы, поэтому у вас примерно такой же риск атаки SQL-инъекцией, как и с хранимой процедурой в SQL Server. Это означает, что вы защищены от прямого внедрения SQL, но ни один из них не защитит вас от скрытого внедрения SQL. Для получения дополнительной информации о скрытой инъекции SQL, прочитайте комментарии в блоге Джеффа Этвуда здесь: Дайте мне параметризованный SQL или дайте мне смерть

Самая большая проблема безопасности с NHibernate заключается в том, что вы должны предоставить приложению учетную запись SQL, которая может выбирать / вставлять / обновлять / удалять (если не выполняет мягкое удаление) в таблицах вашей базы данных. С помощью хранимых процедур вы можете открыть учетную запись, которая имеет права только на выполнение хранимых процедур. Это не проблема для многих мест, но в некоторых местах может быть строгая политика против прямого доступа к таблицам.