Condividi tramite

Considerazioni sulla sicurezza (EntityDataSource)

  • Articolo

Aggiornamento: novembre 2007

Oltre alle considerazioni sulla sicurezza relative allo sviluppo, alla distribuzione e all'esecuzione delle applicazioni Entity Framework, esistono considerazioni sulla sicurezza specifiche del controllo EntityDataSource. In aggiunta alle informazioni contenute in questo argomento, è necessario seguire anche i suggerimenti per la creazione di applicazioni .NET Framework sicure. Per ulteriori informazioni, vedere Considerazioni sulla sicurezza (Entity Framework).

Considerazioni generali sulla protezione

Nell'elenco riportato di seguito vengono descritte le considerazioni sulla sicurezza specifiche del controllo EntityDataSource.

  • Livello di privilegi
    Il componente apre una connessione utilizzando la stringa di connessione fornita. Il livello di privilegi della connessione dipende dalla configurazione del server e della connessione.

  • Controllo di accesso
    Le pagine che possono produrre query di costo significativo devono essere protette con il controllo di accesso.

  • Input non verificato
    L'input non verificato di frammenti di query o di query complete non deve essere esposto al lato client. Le applicazioni devono sempre utilizzare parametri come input per le query.

  • Thread safety
    Il componente non è thread-safe poiché ASP.NET non lo richiede.

  • Messaggi di eccezione
    Entity Framework espone frammenti di informazioni sui metadati nei messaggi di eccezione. Il controllo EntityDataSource non tenta di proteggere i metadati dall'esposizione in questo modo.

  • Convalida delle chiamate di postback
    Per impostazione predefinita, ASP.NET convalida i possibili argomenti per le chiamate di postback sul server. La disattivazione di questa funzionalità può compromettere gravemente la sicurezza di qualsiasi applicazione Web.

  • Analisi dello stack
    Per impostazione predefinita, ASP.NET non visualizza l'analisi dello stack delle eccezioni nella pagina degli errori. L'attivazione di questa funzionalità può causare la diffusione di alcuni dettagli sui metadati, poiché alcuni messaggi di eccezione possono contenere frammenti di metadati.

Vedere anche

Altre risorse

Protezione di applicazioni ADO.NET

Cenni preliminari sul controllo server Web EntityDataSource

Selezione dei dati mediante EntityDataSource

ADO.NET Entity Framework

Considerazioni sulla sicurezza (Entity Framework)