0
我想將XML列添加到我的一個關鍵表中以保存敏感數據。我無法使用實體框架查詢這些XML記錄,所以我的計劃是使用包含xpath查詢的存儲過程查詢它們,然後通過實體框架調用SP。使用xpath有什麼安全風險?
我不知道安全風險xpath和xpath注入。有關於此的任何經驗?
A
回答
2
如果您不信任用戶提供任意XPath表達式,則不要相信他們提供的字符串可以使用字符串連接替換爲XPath表達式。使用包含外部變量(參數)的XPath表達式,並允許它們提供參數值。 (並非所有的XPath API都允許這樣,恐怕我不知道實體框架是什麼)。
相關問題
- 1. WordPress - 安全風險?
- 2. 使用Flex時存在什麼安全風險
- 3. 爲什麼使用'*'作爲postMessage的targetOrigin存在安全風險?
- 4. 運行Erlang集羣時有什麼安全風險?
- 5. 讓javascript訪問外部圖像有什麼安全風險?
- 6. set_include_path有什麼缺點或安全風險?
- 7. 個人使用泡椒安全風險
- 8. 使用Macports有什麼風險?
- 9. 使用提取的PHP超全球植物有什麼風險?
- 10. AHAH是安全風險嗎?
- 11. 有任何安全風險codealike?
- 12. 安全風險(XSS)的風格屬性
- 13. 啓用MSDTC的安全風險
- 14. lambda表達式序列化中的安全風險是什麼?
- 15. /var/run/docker.sock的Docker安全風險是什麼?
- 16. 設置Access-Control-Allow-Origin的安全風險是什麼?
- 17. IPv6:爲什麼IPv4映射地址存在安全風險?
- 18. 爲什麼跨域AJAX請求被標記爲「安全風險」?
- 19. 使用表單身份驗證有哪些安全風險?
- 20. 使用attr_accessible和attr_protected修復安全漏洞有哪些風險?
- 21. 使用跨域XMLHttpRequest有哪些安全風險?
- 22. 使用MySQL觸發器執行PHP有哪些安全風險?
- 23. 風險分析與風險緩解有什麼區別?
- 24. 使用的WebView安全風險(IOS,安卓)
- 25. 爲什麼簽名擴展錯誤有很高的安全風險?
- 26. 寫入文件夾和安全風險
- 27. ASP MVC會話安全風險
- 28. WCF自簽證明的安全風險
- 29. 多個提交按鈕安全風險
- 30. 框架登錄中的安全風險
示例[link](https://www.fortify.com/vulncat/en/vulncat/dotnet/xpath_injection.html) – LaJmOn 2012-02-17 16:15:32
http://www.ibm.com/developerworks/xml/library/x-xpathinjection /index.html – 2012-02-21 16:33:14