您好、欢迎来到现金彩票网!
当前位置:21点 > 字符阅读机 >

Entity Framework 中的字符串插值引发担忧

发布时间:2019-06-12 21:08 来源:未知 编辑:admin

  将内插字符串(Interpolated Strings)自动地转化为参数化 SQL 语句,这是Entity Framework Core 2 提供的一个新特性。虽然该特性从设计上是为了避免出现 SQL 语句编写上的问题,但是有人担心这会导致更多的 SQL 注入攻击。

  这是因为后者将表达式存储在本地变量中,这一简单操作完全地更改了代码的行为。

  为推本溯源,我们需要理解 C# 中“$”表达式的事实真实行为。乍一看,表达式仅是将内插字符串转换为一个正常的String.Format调用。但事实上,它还做了一些额外的工作。

  本质上,“$”表达式是FormattableString的一个子类。对象中包含字符串格式化表达式以及所有需要填充的值。对象在传递给 EF Core 的 FromSql(FormattableString) 方法后,会执行必要的替换,并得到了参数化的 SQL 表达式。

  问题在于,编译器并不愿意直接操作 FormattableString。除非我们将“$”表达式直接指定为一个 FormattableString 类型的变量或参数,否则表达式将立刻被转换为字符串。在正常情况下,这是一种良性更改,因为我们希望最终能给出字符串格式。

  不幸的是,在 EF Core 中,会丢失全部有意义的信息,Entity Framework 使用这些信息对 SQL 语句参数化。此外一旦发生错误,EF Core 并不会给出任何编译器告警或是其它的指示信息。因此如果开发人员试图“清理”代码,这类软件缺陷就很容易混入到应用中。

http://magaltouba.com/zifuyueduji/69.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有