使用xpath有什么安全风险？

Question

我正在尝试将 XML 列添加到我的一个关键表中，以保存敏感数据。我无法使用实体框架查询这些 xml 记录，因此我的计划是使用包含 xpath 查询的存储过程来查询它们，然后通过实体框架调用 SP。

我不知道 xpath 和 xpath 注入的安全风险。有这方面的经验吗？

Answer 1

如果您不信任用户提供任意 XPath 表达式，那么也不信任他们提供您使用字符串连接替换为 XPath 表达式的字符串。使用包含外部变量（参数）的 XPath 表达式，并允许它们提供参数值。 （并非所有 XPath API 都允许这样做，而且我恐怕不知道实体框架是什么）。