¿Esta búsqueda basada en LINQ es segura contra ataques de inyección SQL/XSS?

Consulte el siguiente tutorial de búsqueda en la base de datos y asesórese si la metodología de búsqueda es segura, especialmente dado que está recibiendo información de un cuadro de texto.¿Esta búsqueda basada en LINQ es segura contra ataques de inyección SQL/XSS?

http://net.tutsplus.com/tutorials/asp-net/enabling-search-functionality-in-your-site-using-the-new-features-in-aspnet-35/

Protected Sub btnSubmit_Click(ByVal sender As Object, ByVal e As System.EventArgs) Handles btnSubmit.Click 

    Dim db As New BlogDBDataContext() 

    Dim q = From b In db.Blogs _ 
      Where b.BlogContents.Contains(txtSearch.Text.Trim()) Or _ 
        b.BlogTitle.Contains(txtSearch.Text.Trim()) _ 
      Select b 

    lv.DataSource = q 
    lv.DataBind() 
End Sub

Fuente

2011-10-04 Pradeep Kalugade

Sí, eso es seguro. No está en riesgo de los ataques de inyección de SQL con LINQ a menos que cree el SQL usted mismo, por ejemplo, si usa ExecuteQuery.

Fuente

2011-10-04 09:32:15

Usted está a salvo en este caso. Tienes que salir de tu camino para habilitar la inyección SQL usando LINQ to SQL. Ver http://www.thinqlinq.com/Post.aspx/Title/Does-LINQ-to-SQL-eliminate-the-possibility-of-SQL-Injection

Fuente

2011-10-04 16:09:41

¿Esta búsqueda basada en LINQ es segura contra ataques de inyección SQL/XSS?

Respuesta

Cuestiones relacionadas