0
我想将XML列添加到我的一个关键表中以保存敏感数据。我无法使用实体框架查询这些XML记录,所以我的计划是使用包含xpath查询的存储过程查询它们,然后通过实体框架调用SP。使用xpath有什么安全风险?
我不知道安全风险xpath和xpath注入。有关于此的任何经验?
A
回答
2
如果您不信任用户提供任意XPath表达式,则不要相信他们提供的字符串可以使用字符串连接替换为XPath表达式。使用包含外部变量(参数)的XPath表达式,并允许它们提供参数值。 (并非所有的XPath API都允许这样,恐怕我不知道实体框架是什么)。
相关问题
- 1. WordPress - 安全风险?
- 2. 使用Flex时存在什么安全风险
- 3. 个人使用泡椒安全风险
- 4. set_include_path有什么缺点或安全风险?
- 5. 使用Macports有什么风险?
- 6. 使用提取的PHP超全球植物有什么风险?
- 7. AHAH是安全风险吗?
- 8. 有任何安全风险codealike?
- 9. 启用MSDTC的安全风险
- 10. /var/run/docker.sock的Docker安全风险是什么?
- 11. lambda表达式序列化中的安全风险是什么?
- 12. 设置Access-Control-Allow-Origin的安全风险是什么?
- 13. 为什么跨域AJAX请求被标记为“安全风险”?
- 14. 使用MySQL触发器执行PHP有哪些安全风险?
- 15. 使用表单身份验证有哪些安全风险?
- 16. 使用跨域XMLHttpRequest有哪些安全风险?
- 17. 使用attr_accessible和attr_protected修复安全漏洞有哪些风险?
- 18. 风险分析与风险缓解有什么区别?
- 19. 可以image.src是一个安全风险?
- 20. ASP MVC会话安全风险
- 21. Apache中auto_prepend_file的安全风险?
- 22. ElementRef安全风险角度2
- 23. 多个提交按钮安全风险
- 24. PHP过滤器和安全风险
- 25. 表单身份验证安全风险
- 26. WCF自签证明的安全风险
- 27. SSL系统属性 - 安全风险?
- 28. Drupal中$ update_access_free = true的安全风险
- 29. 你有什么风险管理策略?
- 30. Drupal安装的公共存储库:有哪些安全风险?
示例[link](https://www.fortify.com/vulncat/en/vulncat/dotnet/xpath_injection.html) – LaJmOn 2012-02-17 16:15:32
http://www.ibm.com/developerworks/xml/library/x-xpathinjection /index.html – 2012-02-21 16:33:14