正确使用Dapper的匿名对象或DynamicParameters进行参数化查询可有效防止SQL注入。1. 推荐使用匿名对象传参,如new { Name = “张三”, Age = 18 },Dapper自动绑定属性名与SQL占位符,确保用户输入被视为数据而非代码;2. 复杂场景可用DynamicParameters添加输出参数或调用存储过程,仍保持参数化安全机制;3. 关键是杜绝SQL字符串拼接,禁用$””或string.Format插入用户输入,表名列名需通过白名单校验;4. 错误做法如直接拼接'{userName}’会引发注入风险,正确方式始终使用@参数占位符并配合Dapper参数机制,从而彻底避免SQL注入。
在C#中使用Dapper时,动态参数是通过 匿名对象 或 IDynamicParameters 接口实现的。正确使用这些参数不仅能简化代码,还能有效防止SQL注入攻击。
使用匿名对象传参(推荐)
Dapper支持直接将匿名对象作为参数传递,内部会自动解析属性名并绑定到SQL语句中的参数占位符。
SQL中的参数名需与匿名对象的属性名一致Dapper会自动处理参数化查询,避免字符串拼接数据库不会将用户输入当作SQL执行,从而防止注入
示例:
var sql = "SELECT * FROM Users WHERE Name = @Name AND Age > @Age";var users = connection.Query(sql, new { Name = "张三", Age = 18 });
使用 DynamicParameters 扩展复杂场景
当需要添加输出参数、返回值或自定义类型时,可使用 DynamicParameters 类。
它允许你显式添加参数,并设置方向、类型等属性。
示例:
var parameters = new DynamicParameters();parameters.Add("@Email", "user@example.com");parameters.Add("@Count", dbType: DbType.Int32, direction: ParameterDirection.Output);connection.Execute("GetUserCountByEmail", parameters, commandType: CommandType.StoredProcedure);
int count = parameters.Get("@Count");
这种方式依然使用参数化查询,不受用户输入内容影响。
如何确保防止SQL注入?
关键在于永远不要拼接用户输入到SQL字符串中。只要使用参数化查询,无论输入多恶意,都会被当作数据而非代码处理。
避免 string.Format 或 $”” 拼接SQL不要把用户输入直接放入SQL字符串表名、列名也不能用参数替换(参数只能用于值),这类场景需白名单校验或使用ORM辅助
错误示例(危险!):
// 千万别这么写string sql = $"SELECT * FROM Users WHERE Name = '{userName}'";
正确做法始终是:
string sql = "SELECT * FROM Users WHERE Name = @Name";var user = connection.Query(sql, new { Name = userName });
基本上就这些。只要坚持用Dapper的参数机制传值,不拼SQL,就能有效规避绝大多数SQL注入风险。
以上就是C#中如何使用Dapper的动态参数?避免SQL注入风险?的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1440197.html
微信扫一扫 
支付宝扫一扫 
