Linq und dynamisches SQL

28/09/2009 - 08:52 von ChristianH | Report spam
Hi,

ich habe gelesen, dass bei Linq mit ExecuteQuery(..) dynamisch generiertes
SQL verwendet werden kann. Wie verhàlt es sich jedoch mit der Problematik
bezüglich SQL Injection? Bei ADO.NET steht die SQLParameter-Klasse zur
Verfügung. Wie ist es bei Linq?

Grüße
Christian
 

Lesen sie die antworten

#1 FrankDzaebel
28/09/2009 - 11:59 | Warnen spam
Hallo Christian,

ich habe gelesen, dass bei Linq mit ExecuteQuery(..) dynamisch generiertes
SQL verwendet werden kann. Wie verhàlt es sich jedoch mit der Problematik
bezüglich SQL Injection? Bei ADO.NET steht die SQLParameter-Klasse zur
Verfügung. Wie ist es bei Linq?



Zum Beispiel:

var person = dc.ExecuteQuery<Person>("... {0} ...", 42);

Das wird dann in der Abfrage vom Linq-Provider Injection-
sicher in Parameter umgesetzt. Die verschachtelten Parameter
werden durch erzeugte Parameternamen wie @p0, @p1 …, @p(n)
ersetzt.

[ADO.NET und LINQ to SQL]
http://msdn.microsoft.com/de-de/lib...86944.aspx


ciao Frank
Dipl.Inf. Frank Dzaebel [MCP/MVP C#]
http://Dzaebel.NET

Ähnliche fragen