安全性考量 (EntityDataSource)
更新:2007 年 11 月
除了與開發、部署及執行 Entity Framework 應用程式相關的問題之外,針對 EntityDataSource 控制項也有多項安全性考量。除了本主題提供的資訊,您也應該遵循建立 .NET Framework 應用程式的安全性建議。如需詳細資訊,請參閱安全性考量 (Entity Framework)。
一般安全性考量
下列清單說明 EntityDataSource 控制項所需特別注意的安全性考量。
特殊權限等級
該元件會使用提供的連接字串開啟連接。連接的特殊權限等級會視連線與伺服器組態而異。存取控制
可能導致大量成本之查詢的頁面,應該設有存取控制以獲得適當的防護措施。未經驗證的輸入
未經驗證的查詢片段或完整查詢輸入不應該對用戶端公開。應用程式一定要使用參數做為查詢的輸入。執行緒安全
因為 ASP.NET 並不需要這個元件,因此該元件並非執行緒安全。例外狀況訊息
Entity Framework 會公開例外狀況訊息的中繼資料資訊片段。EntityDataSource 控制項不會嘗試保護要透過此方法公開的中繼資料。回傳呼叫的驗證
根據預設,ASP.NET 會驗證伺服器上回傳呼叫的可能引數。關閉這個功能可能會嚴重危害任一 Web 應用程式的安全性。堆疊追蹤
根據預設,ASP.NET 不會在錯誤頁面中顯示例外狀況的堆疊追蹤。因為有些例外狀況訊息可能包含中繼資料的片段,因此開啟這個功能可能會洩露某些中繼資料的詳細資訊。