在C#中使用EF Core执行原始SQL查询可通过FromSqlRaw、FromSqlInterpolated和ExecuteSqlRaw等方法实现,适用于复杂查询与性能优化。1. FromSqlRaw用于静态SQL查询,需手动处理参数;FromSqlInterpolated支持内插字符串并自动参数化,更安全。2. 执行非查询操作如UPDATE、DELETE应使用ExecuteSqlRaw或更推荐的ExecuteSqlInterpolated以防止注入风险。3. 安全性方面,禁止拼接用户输入到SQL字符串,必须使用参数化方式避免SQL注入。4. 原始SQL查询需返回实体对应列或主键,不支持直接投影到非实体类型,且结果默认可能不被上下文跟踪。正确使用参数化方法可确保操作安全可靠。
在C#中使用EF Core执行原始SQL查询是可行的,主要通过 FromSqlRaw、ExecuteSqlRaw 等方法实现。这类操作适用于复杂查询或性能优化场景,但需注意安全性。
1. 执行查询:FromSqlRaw 和 FromSqlInterpolated
当你需要从数据库中读取数据,并映射到实体类型时,可以使用 FromSqlRaw 或 FromSqlInterpolated:
FromSqlRaw:直接传入原始SQL字符串,适合静态SQL:
var blogs = context.Blogs .FromSqlRaw("SELECT * FROM Blogs WHERE Name LIKE '%{0}%'", searchTerm) .ToList();
FromSqlInterpolated:支持内插字符串,参数会自动参数化,更安全:
var blogs = context.Blogs .FromSqlInterpolated($"SELECT * FROM Blogs WHERE Name LIKE '%' + {searchTerm} + '%'") .ToList();
注意:SQL查询必须返回与实体对应的列,否则映射可能失败。
2. 执行非查询语句:ExecuteSqlRaw
用于执行 INSERT、UPDATE、DELETE 等操作:
context.Database.ExecuteSqlRaw( "UPDATE Blogs SET Name = {0} WHERE Id = {1}", newName, blogId);
同样推荐使用 ExecuteSqlInterpolated 来避免拼接字符串:
context.Database.ExecuteSqlInterpolated( $"UPDATE Blogs SET Name = {newName} WHERE Id = {blogId}");
3. 安全性问题与防范措施
直接拼接SQL字符串(如使用字符串格式化)容易导致 SQL注入 攻击。例如以下写法非常危险:
// 危险!不要这样做var sql = $"SELECT * FROM Blogs WHERE Name = '{searchTerm}'";context.Blogs.FromSqlRaw(sql);
正确做法是:
使用 FromSqlInterpolated 或 ExecuteSqlInterpolated,它们会自动将变量作为参数传递,防止注入。若用 FromSqlRaw,确保所有用户输入都通过参数占位符传入,而不是字符串拼接。避免将用户输入直接拼进SQL语句。
4. 使用原生SQL查询的限制
需要注意几点:查询必须返回实体定义中的所有属性,或至少包含主键。不能用于投影到非实体类型(除非使用 SqlQuery 或原生 ADO.NET)。上下文不会自动跟踪原始SQL查询的结果,除非你使用的是 DbSet 查询且启用了变更追踪。
基本上就这些。只要避免字符串拼接、使用参数化方式,EF Core 的原始SQL查询是相对安全的。关键是别图省事直接拼SQL。
以上就是C#中如何使用EF Core执行原始SQL查询?安全吗?的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1440230.html
微信扫一扫 
支付宝扫一扫 
