企业解决方案中的实体框架

Question

我今天向我们的治理委员会介绍了我的服务。他们对实体框架（尤其是数据团队的负责人）有一些担忧。

他们主要担心两个问题：

1. 由于 EF 会动态生成 SQL，因此它是否容易受到 SQL 注入攻击（当通过 WCF 服务和 WCF 数据服务使用时）。
2. EF 是否会横向扩展以支持高负载情况，而不会成为路径中的“慢点”？

我相当确定#1。 ）如果 EF 对 SQL 注入攻击开放，我想我会听说过它。）但我会喜欢 MS 的一些东西，它说数据契约的输入是 已清理。 （有点像存储过程（在存储过程中不使用动态 SQL）。）

至于#2，我不确定。当我开始收到针对基于 EF 的服务的大量点击时，EF 会让我感到悲伤吗？

Answer 1

1. 与手动编写的 SQL 相比，使用 EF 发生 SQL 注入的可能性更小。
2. 这个问题没有简单的答案。 “高负载情况”太模糊，无法简洁地回答。一般来说，规模越大，任何“一刀切”解决方案的效果就越差。一如既往，测量两次，切割一次。

Answer 2

我同意克雷格的观点。他们更信任手写的 SQL，而不是 Microsoft 这么大的工具生成的 SQL？说实话，除非EF有奇怪的bug，否则不可能进行SQL注入，因为EF总是生成参数化查询。换句话说，他们的论点纯属无稽之谈。

对于#2，EF 不会是慢点，它始终是您的数据库，因为您可以使用 EF 将您的 Web 服务扩展到多个服务器，大多数时候不会出现太大问题。然而，横向扩展数据库是完全不同的事情。然而，我必须说，O/RM 可以轻松生成有时难以调整的“次优”SQL 查询。 DBA 并不总是对此感到满意。然而，根据我的经验，几乎总是可以调整这些 SQL 查询（通过重写 LINQ 查询）。在过去的几个月里我已经做了很多这样的事情，有时这可能相当具有挑战性。在极少数情况下，您无法在 .NET 方面进行足够的优化，您始终可以回退到索引视图、存储过程或手动 SQL，但这应该很少见。

Answer 3

只需运行探查器并检查 EF 生成的查询即可。您将看到参数化查询，这是针对 SQL 注入的主要防御措施。因此，没有 EF 不会受到注入攻击，但如果您使用 EntitySQL 并手动连接字符串，则可能会对更高层进行注入攻击。

当然 EF 有性能成本。这是简单和快速开发的权衡，开发人员不需要对内部流程/技术有太多了解来构建应用程序（在许多 MS 工具的情况下，熟练的猴子可以构建应用程序，但性能和其他质量测量将足够）。

实际上这些性能成本可能非常高，性能测试的重点是发现是否存在性能瓶颈。如果您发现某个部分太慢，则需要您对其进行优化。它可能导致代码重构或创建存储过程来处理复杂的查询。

对于数据服务，这可能会更复杂。客户端可以触发一些复杂的查询，这只会花费很长时间，并且您无法控制该查询。对此的一些防御措施是限制服务级别上返回/查询的记录的数量。如果用户想要更多记录，他必须指定更详细的搜索条件。

Answer 4

对于#2，每当引入抽象时，都会对性能进行权衡。它对您是否重要只能通过性能测试和针对您的情况进行分析来确定。阅读这篇文章，了解为什么要使用自定义 ORM，Dapper 是必需的，这样才能给你一个想法。 Dapper 还有一个性能测试套件您可以使用它来确定 EF 对典型查询的影响有多大。

还有一个#3。 EF 仍然不支持 SQL 的某些功能，这可能会限制您的设计。例如 唯一密钥尚不支持约束。

EF 仍在不断发展，请关注 ADO.Net 团队博客。