客户端WinForms/世界粮食计划署应用程序中的.NET实体框架:安全问题？

Question

我的团队正在考虑将最新版本的实体框架与WinForm或WPF应用程序一起使用，这些应用程序将由用户下载并安装在他们的机器上。

这将通过WCF连接到我们的数据库，应用程序将使用LINQ查询通过EF与数据库交互。

这个安全吗？是否可以对应用程序进行逆向工程，让竞争对手看到我们的数据库结构和业务规则？

这种架构可以接受吗？或者，如果风险很高，是否应该将结构抽象到接口后面？

Answer 1

我想这有点取决于你的WCF服务是如何工作的。Webservice还是Windows服务？加密？如果您没有加密，而是以XML格式序列化返回的对象，则可能有人会窥探该XML流，并了解实体的结构(非常确定映射信息或存储层信息不包括在序列化的实体中)。

就Entity Framework而言，假设攻击者无法访问edmx或生成的EDM组成文件，并且无法直接访问数据库，那么您应该做得很好。Entity Framework EDM的编译方式与其他程序集非常相似。只要你保证了从服务到客户端的传输的安全，你就应该做得很好。