Tag: dynamic linq

dynamicLINQ可以注入吗？

使用dynamicLINQ库（ 链接 ），是否容易注入？ （如果是的话）如何防范呢？ 安全考虑（entity framework）的一些背景： LINQ to Entities注入攻击： 尽pipe查询组合在LINQ to Entities中是可能的，但它是通过对象模型API执行的。 与实体SQL查询不同，LINQ to Entities查询不是使用string操作或串联组成的，而且它们不易受传统SQL注入攻击的影响。 由于dynamicSQL是使用string组成的，这是否意味着它可能容易受到注入向量？ 或者，LINQ to SQL会根据Dynamic LINQ库中的基础数据types自动处理参数化值？ 或者它是完全安全的，因为dynamic查询将在内存中执行，而不是针对SQL（从而否定SQL索引的好处）？ 我一直在通过理解DynamicLibrary.cs代码，但我相信我可以轻松地忽略一些东西。 由于这个问题是关于dynamicLINQ库本身，这个问题可以被认为适用于linq-to-sql和linq-to-entities （尽pipe上面引用了entity framework）。