我见过一些关于L2E是否易受SQL注入冲突的文章。LINQ to Entities和SQL注入
从MSDN:
虽然查询组合物在LINQ能够实体, 它是通过对象模型API来执行。与实体SQL查询不同,LINQ to Entities查询不是通过使用字符串操作 或级联组成的,它们不易受传统SQL注入攻击的影响。
这是否意味着存在可能起作用的“非传统”攻击? This article有一个非参数化查询的例子 - 假设如果您通过变量传递用户提供的数据,它会被参数化吗?
如果我做的:
from foo in ctx.Bar where foo.Field = userSuppliedString select foo;
我是安全的吗?