среда, 3 декабря 2008, Oleksandr Reminnyi

Одна из наиболее интересных фитч LINQ – то что код отделяеться от данных. SQL иньекции возможны именно в случаях, когда данные генеряться динамически, исполняющий код смешан с данными.

Формат Linq “from-where-select” не являеться строкой, поддерживает интелисенс, и отделяет код от данных, делая запросы частью языка программирования.

В конечном итоге код являеться несклонным к инъекциям.

Но все таки нужно помнить, что сама технология не защищает вас от инъекций. Все зависит от того как дерево выражения трансформируеться в строку запроса, которая и будет вносить даные в базу. LINQ to SQL использует заготовленые выражения, но другие LINQ провайдеры могут иметь ошибки, которые все же позволяют инъекции.

---