Некоторые способы безопасной работы с данными через Entity Framework:

• Использование доверенных поставщиков источников данных. 1 Злонамеренный поставщик может похитить учётные данные пользователя, сформировать вредоносные запросы или внести несанкционированные изменения в результирующий набор. 1
• Шифрование подключения. 1 Если пользователи получают доступ к данным через открытую сеть, то для повышения безопасности необходимо устанавливать зашифрованное соединение с источником данных. 1
• Хранение строк соединения в защищённых файлах конфигурации. 12 Строку соединения нельзя внедрять в исходный код. 12 По умолчанию мастер моделей EDM хранит строки соединения в файле конфигурации приложения, который необходимо защитить от несанкционированного доступа. 1
• Использование построителей строки соединения. 12 Если необходимо создать строку подключения во время выполнения, то следует использовать класс EntityConnectionStringBuilder. 12 Он помогает предотвратить атаки внедрения кода путём проверки входных данных и экранирования недопустимых данных. 1
• Ограничение разрешений для файлов модели и сопоставления. 12 Доступ для записи к файлам модели и сопоставления (EDMX-файлы, CSDL-файлы, SSDL-файлы и MSL-файлы) должен быть предоставлен только тем пользователям, которые изменяют модель или сопоставления. 12
• Предотвращение атак на внедрение SQL. 12 Чтобы избежать риска SQL-инъекции, не следует объединять пользовательский ввод с текстом команды Entity SQL. 2 Следует использовать параметризованные запросы вместо того, чтобы вставлять литералы из внешнего агента прямо в запрос. 2