xpathを使用する際のセキュリティリスクは何ですか？

Question

重要なデータを保存するために、重要なテーブルの1つにXML列を追加しようとしています。 Entity Frameworkを使用してこれらのxmlレコードを照会することはできません。したがって、ストアドプロシージャを使用してxpathクエリを含むクエリをクエリし、次にEntity FrameworkによってSPを呼び出します。

私は、XPathとXPathインジェクションのセキュリティリスクについて知りません。これに関するすべての経験？

Answer 1

ユーザーが任意のXPath式を提供することを信頼しない場合は、文字列連結を使用してXPath式に置き換える文字列をユーザーが信頼することはできません。外部変数（パラメータ）を含むXPath式を使用し、パラメータ値を指定できるようにします。 （すべてのXPath APIがこれを許可するわけではありませんが、私はEntity Frameworkが何であるか分かりません）。