EF自带防SQL注入 FromSqlInterpolated方法——无法查询BUG

最新推荐文章于 2025-05-23 09:00:00 发布

原创

最新推荐文章于 2025-05-23 09:00:00 发布 · 3.4k 阅读

2 ·

CC 4.0 BY-SA版权

项目场景：

项目场景：项目使用.net core EF做SQL查询，为了懒省事儿，使用EF自带防止SQL注入方法：FromSqlInterpolated 。

问题描述：

发现屏蔽了like %查询使得无法查询出数据！

防SQL注入错误代码：

@Override
        public void run() {
   
   
           string name='张三'; 
           FormattableString fstr=$@"select * from staff where IsEnabled=1 and StaffName like Concat('%','{name}','%')";
           db.FromSqlInterpolated

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

object-null

关注关注

1
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

八、EFCore系列之EFCore中使用原生SQL语句

weixin_45666156的博客

02-08

1429

对比总结方法用途参数化方式返回值适用场景执行参数化 SQL 命令自动（字符串插值）int简单的增删改操作执行原始 SQL 命令手动（参数数组）int动态生成的 SQL 命令执行参数化 SQL 查询自动（字符串插值）查询操作，结果映射到实体FromSqlRaw执行原始 SQL 查询手动（参数数组）IQueryable<T> 动态生成的 SQL 查询SqlQuery执行参数化 SQL 命令自动（字符串插值）适合直接映射到实体或 DTO选择建议安全性优先。

EFCore中结合Dapper执行SQL任意查询

bazinga_y的博客

08-12

1247

EFCore中结合Dapper执行SQL任意查询

参与评论您还未登录，请先登录后发表或查看评论

【Entity Framework】你必须了解的之自定义SQL查询

记录总结工作过往

04-19

1770

通过 Entity Framework Core 可以在使用关系数据库时下降到 SQL 查询。如果所需查询无法使用 LINQ 表示，或者 LINQ 查询导致 EF 生成效率低下的 SQL，则可使用 SQL 查询。SQL 查询可返回一般实体类型或者模型中的无键实体类型。SQL 查询必须返回实体类型的所有属性的数据。结果集中的列名必须与属性映射到的列名称匹配。请注意，此行为与 EF6 不同；EF6 忽略了 SQL 查询的属性-列映射，只需结果集列名与这些属性名相匹配即可。SQL 查询不能包含关联数据。

EntityFramework Core 2.0执行原始查询如何防止SQL注入？

weixin_34238642的博客

02-27

485

前言接下来一段时间我们来讲讲EntityFramework Core基础，精简的内容，深入浅出，希望为想学习EntityFramework Core的童鞋提供一点帮助。 EntityFramework Core执行原始查询在EntityFramework Core中执行原始查询我们借助FromSql来实现，如下： using (var context = n...

EntityFrameWork+MVC防SQL注入

aining2608的博客

11-14

279

EntityFrameWork（以后简称EF）作为一款ORM非常的实用，能够大幅度的提高开发速度，但是EF的实质也是sql语句，同样需要防sql注入，在这里利用过滤器的特性来实现过滤特殊字符。 1.首先是过滤的代码 1 public class SqlFilterAttribute : FilterAttribute, IActionFilter 2 { 3 ...

.net core实用技巧——将EF Core生成的SQL语句显示在控制台中

10-14

通过这种方式，你可以实时查看EF Core生成的SQL语句，以便于分析查询性能、调试和优化数据库操作。这种做法对于理解应用程序如何与数据库交互，以及在复杂查询中查找可能的性能问题非常有用。在实际开发中，你还可以...

EF Core执行原生SQL语句的一个扩展方法

12-16

在EFCore下执行原生SQL查询语句的方法——FromSqlRaw和FromSqlInterpolated，不能查找部分列，只能查找全部列，而且只能单表查询，不能使用join联查，这是这两个方法的局限性。而实际场景中，我们经常会处理一些...

精选资源

EFcore Repository 依赖注入方式实现数据库基本操作

02-08

它支持多种数据库系统，如SQL Server、SQLite、MySQL等，并提供了查询、事务、仓储（Repository）等特性。 2. **依赖注入的概念** 依赖注入是一种编程实践，它允许我们在运行时将依赖项传递给类，而不是在类内部...

EF中防止sql注入

bangzhaigui5960的博客

12-19

1012

EF作为一个orm框架，本身以及放置了sql的注入，但是如果我们需要执行sql语句的时候了？比如，我们需要查询视图"select * from VM where 条件 = {0}"，此时，sql是可以注入的那么，我们该如何防止注入呢？在论坛找到一个方法，收藏下，哈哈 function bool SS（string no） { try{ string sql = "sele...

EF Core 2.0 执行原始查询如何防止SQL注入

weixin_30307921的博客

03-19

584

using (var context = new EFCoreDbContext()) { var searchString = "Jeffcky Wang"; FormattableString sql = $@"SELECT Id, Name, Url, CreatedTime, ModifiedTime FROM dbo.Blogs WHERE Name = {se...

ef 执行mysql语句_EF Core中执行Sql语句查询操作之FromSql，ExecuteSqlCommand，SqlQuery

weixin_29388659的博客

02-23

1518

一、目前EF Core的版本为V2.1相比较EF Core v1.0 目前已经增加了不少功能。EF Core除了常用的增删改模型操作，Sql语句在不少项目中是不能避免的。在EF Core中上下文，可以返货DbConnection ，执行sql语句。这是最底层的操作方式，代码写起来还是挺多的。初次之外 EF Core中还支持 FromSql,ExecuteSqlCommand 连个方法，用于更方便的...

EFCore执行Sql语句的方法：FromSql与ExecuteSqlCommand

weixin_33816946的博客

03-15

866

前言在EFCore中执行Sql语句的方法为：FromSql与ExecuteSqlCommand；在EF6中的为SqlQuery与ExecuteSqlCommand，而FromSql和SqlQuery有很大区别，FromSql返回值为IQueryable，因此为延迟加载的，可以与Linq扩展方法配合使用，但是有不少的坑(EFCore版本为1.1.0)，直接执行Sql语句的建议不要使用FromSql...

EF执行SQL语句

烟花易冷

09-19

4497

使用EF框架的过程中，有时需要执行SQL语句来提升查询性能，如执行存储过程，进行复杂查询等。下面介绍如何在EF中执行SQL语句。 1.EF执行 SQL查询 string sql = "SELECT sStuID,sStuName FROM [dbo].[Students] WHERE sClassID = @classID"; var student = db.Database.SqlQue...

efcore调用函数_EFCore执行Sql语句的方法：FromSql与ExecuteSqlCommand

weixin_39625162的博客

12-24

556

SqlParameter防止SQL的注入

帆布鞋也能走猫步

10-31

4118

在第一次做机房收费的时候就说到了SQL的注入问题，当时，只知道有这么一个问题，也简单地查了一下，但对于当时的我来说，简直是高大上呀！一查SQL注入，好多方法，好麻烦！果断地挂起来！！！其实，最开始学到SqlParameter的时候是在机房重构里面，只不过当时不知道这有什么用，只知道它是简单的传送一些参数罢了！在牛腩中，才开始真真正正地将Sqlparameter和SQL注入连在一起！

【EF Core】 EF Core 原生SQL查询深度解析