このLINQベースの検索は、SQLインジェクション/ XSS攻撃に対して安全ですか？

Question

以下のデータベース検索チュートリアルを参照し、特にテキストボックスからの入力を行っているため、検索方法が安全かどうかをご確認ください。

http://net.tutsplus.com/tutorials/asp-net/enabling-search-functionality-in-your-site-using-the-new-features-in-aspnet-35/

Protected Sub btnSubmit_Click(ByVal sender As Object, ByVal e As System.EventArgs) Handles btnSubmit.Click 

    Dim db As New BlogDBDataContext() 

    Dim q = From b In db.Blogs _ 
      Where b.BlogContents.Contains(txtSearch.Text.Trim()) Or _ 
        b.BlogTitle.Contains(txtSearch.Text.Trim()) _ 
      Select b 

    lv.DataSource = q 
    lv.DataBind() 
End Sub 

Answer 1

はい、それは安全です。たとえば、ExecuteQueryを使用する場合など、SQLを自分で作成しない限り、LINQを使用したSQLインジェクション攻撃のリスクはありません。

Answer 2

この場合、あなたは安全です。 LINQ to SQLを使用してSQLインジェクションを有効にするには、途中で外出する必要があります。 http://www.thinqlinq.com/Post.aspx/Title/Does-LINQ-to-SQL-eliminate-the-possibility-of-SQL-Injection