Question

Скажите, что у меня есть этот код Dapper:

connection.Execute("dbo.boardgame_collection_insert @param1, @param2, @param3, @param4", boardgameCollection.BoardgameList);

Будет ли это безопасным для инъекций или я должен использовать что-то вроде DynamicParameters?

Кажется, что Dapper простотонкий слой, и это будет означать, что мне нужно написать код, чтобы указать тип ввода.

Это используется в проекте ASP.NET Core.

Adrian Iftode · Answer 1 · 06 марта 2019

Тебе должно быть хорошо

[Fact]
public void TestSqlInjectionParam()
{
    Assert.Equal("Robert ');DROP TABLE Students;--", 
        connection.Query<string>("select @d", 
        new { d = "Robert ');DROP TABLE Students;--" }).First());
}

Предотвратить инъекцию с помощью хранимой процедуры Dapper?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Предотвратить инъекцию с помощью хранимой процедуры Dapper?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы