LINQ - возможна SQL инекция?
Одна из наиболее интересных фитч LINQ – то что код отделяеться от данных. SQL иньекции возможны именно в случаях, когда данные генеряться динамически, исполняющий код смешан с данными.
Формат Linq “from-where-select” не являеться строкой, поддерживает интелисенс, и отделяет код от данных, делая запросы частью языка программирования.
В конечном итоге код являеться несклонным к инъекциям.
Но все таки нужно помнить, что сама технология не защищает вас от инъекций. Все зависит от того как дерево выражения трансформируеться в строку запроса, которая и будет вносить даные в базу. LINQ to SQL использует заготовленые выражения, но другие LINQ провайдеры могут иметь ошибки, которые все же позволяют инъекции.