Problema ODATA per l'iniezione SQL

Question

Supponiamo di disporre di un DB completo di record di integrità e un'applicazione ASP.NET MVC. Supponiamo che qualcuno usi l'URL "/ api/medicalRecords? $ Filter = id gt 0" per chiamare una richiesta Ajax. Questo mi sembra che sia aperto per l'iniezione SQL - proprio come 10-15 anni fa ...

Ciò significa che è standard aperto all'iniezione SQL, o dipende dal lato server (io uso Risultato IQueryable ed entità framework 4)?

so che il meccanismo di autenticazione è necessario - ma per il bene di questa domanda, supponiamo nessun meccanismo di autenticazione è disponibile ...

Answer 1

provate a leggere questo post del blog, che fornisce informazioni dettagliate su molto OData e SQL Injection:

http://kscottmorrison.com/tag/sql-injection/

... OData, naturalmente, è la connessione origine dati, in modo da ISN iniezione 't un problema -basta prendere una sospensione di esso in primo luogo è sufficiente. Così che cosa è di fondamentale importanza con OData è quello di gestire rigorosamente ciò che questa connessione è capace di fare ...

Answer 2

WCF Data Services parametrizzare i valori dal vostro filtro che elimina la possibilità per l'iniezione SQL .

Si consiglia di visualizzare le query SQL effettive eseguite in un profiler del database.