私のアプリケーションでEFを使用しています。
EFに使用する必要があるセキュリティまたは注入パターンはありますか?エンティティフレームワークのセキュリティとインジェクション
2
A
答えて
4
EFはparamaterisedクエリを自動的に使用しますが、SQLインジェクションのリスクはありません。
これは自動的にアプリケーションを安全にするとは限りません。
ウェブアプリケーションで必要となる主要なセキュリティ機能の1つは、公開している「直接オブジェクト参照」を保護することです。あなたは、URL内のIDを変更した場合
/viewmyorder.aspx?id=20
:
は、サンプルのURLを取ることができます、あなたはショッピングカートのトランザクションを完了し、これはあなたがで終了ページであると言います19、18、17のいずれかを選択すると、他の顧客の注文を表示することができます。
「あなたの入力を信頼しないでください」というコードでは、データベースキーが改ざんの主な候補です。
フォームの投稿、URLのキー/値、またはCookieに基づいてアイテムを取得する場合は、現在のユーザーにそのアイテムにアクセスする権限があることを確認してください。
関連する問題
- 1. PHPセキュリティ - $ _POST - インジェクション
- 2. IIS +プログラミングセキュリティ:Webサイトのバックエンドシステムのセキュリティ保留 - ログインページSQLインジェクション
- 3. SqlCeResultSetとSQLインジェクション
- 4. SQLインジェクションとプリペアドステートメント
- 5. インジェクションと継承
- 6. Doctrine2 FindOneByとSQLインジェクション
- 7. Like句とSQLインジェクション
- 8. SQLインジェクションとWebログファイル
- 9. ペンテストブラインドSQLインジェクションとビューステートエラー
- 10. JSFアプリケーションスコープのインスタンス化とインジェクション
- 11. 動的に生成されたSQLセキュリティの懸念(SQLインジェクションなど)
- 12. のStructureMapとエンティティフレームワーク4.1
- 13. WCFとエンティティフレームワークのレイジーロード
- 14. ストアドプロシージャとエンティティフレームワークのパフォーマンス
- 15. エンティティフレームワークとカプセル化
- 16. エンティティフレームワークとマルチスレッド
- 17. エンティティフレームワークとMSBIアプリケーション
- 18. プリズムとエンティティフレームワーク
- 19. wcfとADOエンティティフレームワーク
- 20. エンティティフレームワークとビジネスオブジェクト
- 21. エンティティフレームワークとビュー
- 22. マルチテナントアプリケーションとエンティティフレームワーク
- 23. エンティティフレームワークとWebフォーム
- 24. エンティティフレームワークとデータアクセスレイヤー
- 25. リポジトリパターンとエンティティフレームワーク
- 26. エンティティフレームワークとゲームサーバー
- 27. エンティティフレームワークとダイレクトデータアクセス
- 28. エンティティフレームワークとビジネスレイヤー/ロジック
- 29. Sqlインジェクション攻撃とサブソニック
- 30. 動的WHERE句とSQLインジェクション
ニース、これらのケースを確認できる既存のフレームワークはありますか? –