我正在尝试动态构建一个具有 X 个条件的原始 SQL 查询。我正在根据此页面上的信息工作:https://docs.microsoft.com/en-us/ef/core/querying/raw-sql
目前我有类似的东西:
String rawQuery = "SELECT * FROM ItemsTable WHERE ";
foreach (f in FilterList) {
rawQuery = rawQuery + String.Format(f.condition, f.userInput);
// f.condition is something like "Name LIKE {0}"
}
var filteredItems = context.ItemsTable
.FromSql(rawQuery)
.ToList();
问题是,我的参数在使用 .FromSql() 时没有被替换,所以我很容易受到 SQL 注入(inject)攻击。
有没有办法使用 .FromSql() 来完成这个任务?
或者,还有其他方法可以防止 SQL 注入(inject)吗?
最佳答案
您可以将查询参数化,构建一个 SqlParameters 列表,然后将查询和参数传递给 FromSql() :
var rawQuery = new StringBuilder("SELECT * FROM ItemsTable WHERE ");
var sqlParameters = new List<SqlParameter>();
foreach (var f in FilterList) {
var parameterName = $"@p{FilterList.IndexOf(f)}";
var parameterizedCondition = string.Format(f.condition, parameterName);
// f.condition is something like "Name LIKE {0}"
rawQuery.Append(parameterizedCondition);
sqlParameters.Add(new SqlParameter(parameterName, f.userInput));
}
var filteredItems = context.ItemsTable
.FromSql(rawQuery.ToString(), sqlParameters)
.ToList();
关于c# - 如何使用动态数量的参数在 EF Core 中构建原始 SQL 查询,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/54015590/