更新:2007 年 11 月
除了在开发、部署和运行 Entity Framework 应用程序时需要注意的事项外,还需要注意几个特定于 EntityDataSource 控件的安全注意事项。除了本主题中的信息,还应当遵循为创建安全的 .NET Framework 应用程序而提供的建议。有关更多信息,请参见安全注意事项 (Entity Framework)。
一般安全注意事项
下面列出了特定于 EntityDataSource 控件的安全注意事项。
特权等级
该组件使用所提供的连接字符串打开连接。连接的特权等级取决于连接和服务器的配置。访问控制
可能会生成大开销查询的页面应当受到访问控制的保护。未验证的输入
查询片段或完整查询的未验证输入不应当向客户端公开。应用程序应当始终使用参数作为查询的输入。线程安全
该组件不是线程安全的,因为 ASP.NET 不需要它。异常消息
Entity Framework 会在异常消息中公开元数据信息的片段。EntityDataSource 控件不会尝试防止元数据以这种方式公开。验证回发调用
默认情况下,ASP.NET 验证是否存在用于在服务器上进行回发调用的可能参数。关闭此功能可能会严重危害所有 Web 应用程序的安全。堆栈跟踪
默认情况下,ASP.NET 不在错误页面中显示有关异常的堆栈跟踪。打开此功能可能会导致泄露某些元数据详细信息,因为某些异常消息中可能包含元数据片段。