使用xpath的安全风险有多大？

Question

为了保存敏感数据，我试图将XML列添加到我的一个关键表中。我不能使用实体框架查询这些xml记录，所以我的计划是使用存储过程包含xpath查询来查询这些记录，然后按实体框架调用SPs。

我不知道xpath和xpath注入的安全风险。有这方面的经验吗？

Answer 1

如果您不信任用户提供任意的XPath表达式，那么就不要相信它们提供了一个字符串，您可以使用字符串连接将该字符串替换为XPath表达式。使用包含外部变量(参数)的XPath表达式，并允许它们提供参数值。(并不是所有的XPath API都允许这样做，恐怕我不知道实体框架是什么)。