内联SQL查询和实体框架激发的查询之间有什么区别？

Question

我是实体框架的新手。

我在想写内联SQL查询和实体框架之间的区别。如果内联SQL查询容易受到SQL注入攻击，那么实体框架如何更安全？

我看到的唯一不同是，我们使用LINQ与实体框架交互，但内部实体框架类以某种语言与数据库交互。与在线查询相比，它如何更安全？

Answer 1

Entity具有内置的查询参数化功能，防止了单引号等字符的注入，这些字符在SQL注入中非常重要。只要您使用ADO.NET或类似的框架以正确的方式参数化和构建查询，内联SQL也是安全的。

最后，如果不清理输入和参数化查询，内联SQL可能会非常糟糕。实体框架只是在幕后为您做这一切，从而使其本质上更安全。