如何在 sp_executesql 中注入 sql
How to inject sql in sp_executesql
我想知道是否可以通过 sql 注入攻击这个简单的代码。
string name = Console.ReadLine();
using (var db = new Db())
{
var result = db.Models.Where(p => p.Name == name);
foreach (var item in result)
Console.WriteLine(item.Name);
}
EntityFrameork 执行此命令使用 sp_executesql 存储过程,其中名称是参数。
exec sp_executesql N'SELECT
[Extent1].[Id] AS [Id],
[Extent1].[Name] AS [Name]
FROM [dbo].[Models] AS [Extent1]
WHERE ([Extent1].[Name] = @p__linq__0) OR
(([Extent1].[Name] IS NULL) AND (@p__linq__0 IS NULL))'
,N'@p__linq__0 nvarchar(4000)',@p__linq__0=N'jacek'
我的问题是:
1) 这个解决方案是否再次提供 100% 的防御 SQL-injection?
2) 如果不是,什么用户应该输入 name var 以列出来自 table 模型的所有条目(两列:int id 和字符串名称)
是的,Entity Framework 以与参数化查询大致相同的方式防止 SQLi。
事实上,如您所见,EF 会为您生成一个参数化查询,并在 SQL 级别传递值。
如上所述,一个简单的测试是尝试包含单引号的字符串并查看生成的动态 SQL。
我想知道是否可以通过 sql 注入攻击这个简单的代码。
string name = Console.ReadLine();
using (var db = new Db())
{
var result = db.Models.Where(p => p.Name == name);
foreach (var item in result)
Console.WriteLine(item.Name);
}
EntityFrameork 执行此命令使用 sp_executesql 存储过程,其中名称是参数。
exec sp_executesql N'SELECT
[Extent1].[Id] AS [Id],
[Extent1].[Name] AS [Name]
FROM [dbo].[Models] AS [Extent1]
WHERE ([Extent1].[Name] = @p__linq__0) OR
(([Extent1].[Name] IS NULL) AND (@p__linq__0 IS NULL))'
,N'@p__linq__0 nvarchar(4000)',@p__linq__0=N'jacek'
我的问题是:
1) 这个解决方案是否再次提供 100% 的防御 SQL-injection?
2) 如果不是,什么用户应该输入 name var 以列出来自 table 模型的所有条目(两列:int id 和字符串名称)
是的,Entity Framework 以与参数化查询大致相同的方式防止 SQLi。
事实上,如您所见,EF 会为您生成一个参数化查询,并在 SQL 级别传递值。
如上所述,一个简单的测试是尝试包含单引号的字符串并查看生成的动态 SQL。