asp.net – 这个LINQ statment是否容易受SQL注入攻击？

长答案：

LINQ不像SQL.幕后有一个完整的库,从编译器从代码生成的表达式树构建SQL,将结果映射到对象 – 当然,它会在事情上保证安全.

见LINQ to SQL FAQ：

Q. How is LINQ to SQL protected from
SQL-injection attacks?

A. SQL injection has been a significant risk for traditional SQL
queries formed by concatenating user
input. LINQ to SQL avoids such
injection by using SqlParameter in
queries. User input is turned into
parameter values. This approach
prevents malicious commands from being
used from customer input.

在内部,这意味着当LINQ to SQL查询数据库时,而不是使用纯值,它将它们作为SQL参数传递,这意味着它们不能被数据库视为可执行代码.大多数(如果不是全部)ORM映射器也是如此.

比较这两种方法(完全伪代码)：

string name = "' ; DROP DATABASE master  --"
run ("SELECT * FROM Authors WHERE Name = '" + name + "'") // oops!

// now we'd better use parameters
SqlParameter name = new SqlParameter ("@name","' ; DROP DATABASE master  --")
run ("SELECT * FROM Authors WHERE Name = @name",name) // this is pretty safe

我建议您更深入地了解LINQ语句的实际意义,何时以及如何将其转化为真正的SQL.您可能想了解LINQ standard query operator translation,deferred execution,different LINQ providers等.在LINQ的情况下,就像任何抽象技术一样,知道幕后发生的事情非常有用.

附：每次我看到有关SQL注入的问题,我不禁要记住这个webcomic.