EF Core 中避免 SQL 注入的三种写法

最新推荐文章于 2025-05-23 09:00:00 发布
最新推荐文章于 2025-05-23 09:00:00 发布
阅读量531 收藏 1
点赞数 3
CC 4.0 BY-SA版权
文章标签: c# .netcore
本文为博主学习实践所写,如有谬误之处欢迎指正。
本文链接:https://blog.youkuaiyun.com/github_37151951/article/details/142957835

SQL 注入攻击可能会对我们的应用程序产生严重影响,导致敏感数据泄露、未经授权的访问和应用程序受损。EF Core 提供了三种内置机制来防止 SQL 注入攻击。

1、利用 LINQ 查询语法和参数化查询,这是比较推荐的做法。

await using var context = new PostgresContext();  
var author = "江";  
var blog = await context.Blogs.Where(s=>s.Author == author + "山").FirstOrDefaultAsync();

生成的查询脚本如下:

SELECT b.author, b.blogid, b.url
FROM blog AS b
WHERE b.author = @__p_0
LIMIT 1

2、使用 FromSql

对于一些复杂的查询,需要直接使用 SQL 查询脚本的,如果是 EF Core 7.0 以上版本可以使用 FromSql。

await using var context = new PostgresContext();  
var author = "江山";
var blog = await context.Blogs.FromSql($"SELECT * FROM blog WHERE author = '{author}'").FirstOrDefaultAsync();

生成的查询脚本如下:

SELECT e.author, e.blogid, e.url
FROM (
    SELECT * FROM blog WHERE author = '@p0'
) AS e
LIMIT 1

它会自动识别字符串中的 {author} 这样的字符,用参数替换掉。

3、使用 FromSqlRaw

FromSqlRaw 也可以执行 SQL,但是需要特别注意。

先看下面的代码:

await using var context = new PostgresContext();  
var author = "江山";    
var blog = await context.Blogs.FromSqlRaw("SELECT * FROM blog WHERE author = '{0}'",author).FirstOrDefaultAsync();

生成的查询脚本如下:

SELECT e.author, e.blogid, e.url
FROM (
    SELECT * FROM blog WHERE author = '@p0'
) AS e
LIMIT 1

上面的结果是安全的。现在,把脚本改成"+"号拼接:

var blog = await context.Blogs.FromSqlRaw("SELECT * FROM blog WHERE author = '"+author+"'").FirstOrDefaultAsync();

生成的脚本如下:

SELECT e.author, e.blogid, e.url
FROM (
    SELECT * FROM blog WHERE author = '江山'
) AS e
LIMIT 1

这样就不安全了。

这就是 EF Core 中避免 SQL 注入的三种方式,希望对你有帮助。

老派Sql之必要,逆天,我在ef core中使用ado.net!
jine1987的专栏
08-05 423
老派SQL之必要,逆天,我在ef core中使用ado.net!
通过EFCore执行SQL语句调用触发器操作
qq_39280087的博客
12-23 1991
前置阅读文章 《EFCore使用ADO.NET连接GBase8s数据库示例》 《C#连接GBase8s数据库在windows环境下使用步骤》 创建解决方案Demo工程,并引入相应的EFCore包 我们首先创建名字为t7的数据库,并创建使用到的数据表和触发器。 创建两张数据表t1和t2,t1是业务数据表,t2是通过触发器实现的日志数据表。 CREATE TABLE t7:t1 ( name VARCHAR(100), id VARCHAR(100), age VARCHAR(100) ) in rootdb
Entity Framework关于SQL注入安全问题
weixin_34270606的博客
12-14 360
1、EF生成的sql语句,用 parameter 进行传值,所以不会有sql注入问题 2、EF下有涉及外部输入参数传值的,禁止使用EF直接执行sql命令方式,使用实体 SQL   参考: https://msdn.microsoft.com/zh-cn/library/cc716760(v=vs.110).aspx   SQL 注入式攻击。 应用程序经常接受外部输入(...
EFsql注入
bangzhaigui5960的博客
12-19 995
EF作为一个orm框架,本身以及放置了sql注入,但是如果我们需要执行sql语句的时候了?比如,我们需要查询视图"select * from VM where 条件 = {0}",此时,sql是可以注入的 那么,我们该如何注入呢?在论坛找到一个方法,收藏下,哈哈 function bool SS(string no) { try{ string sql = "sele...
EF CoreEF Core 原生SQL查询深度解析
最新发布
Arabys的博客
05-23 1665
EF Core中使用原生SQL执行查询本身不是一种常见的使用案例。但是当我们面对要去执行数据报表这类非常复杂的查询逻辑,其中来回关联了很多张表,并且执行过程中创建了很多临时表。这种查询是很难用 LINQ 方法语法来表示的,即使可能能使用和SQL语句类似查询语法,但也会非常复杂。另外一种就是EF Core翻译出来的SQL执行效率很低,也会碰到使用原生SQL执行查询这种场景。在使用关系型数据库时,EF Core 允许直接使用 SQL 查询。
SQL注入式攻击
qingYun1029的博客
11-04 719
参考文章。。http://topic.csdn.net/u/20101104/16/644c332c-de0c-4d46-b3bf-bffb0eeea3b8.html?24431http://topic.csdn.net/u/20101104/15/5f5e9805-a017-4d44-b2be-f50516f11add.html
sql注入pythonpoco_.NET EF(Entity Framework)详解
weixin_36371504的博客
02-11 325
一丶Entity Framework(一)EF简介(1)ORM:Object Relation Mapping ,通俗说:用操作对象的方式来操作数据库。(2)插入数据库不再是执行Insert,而是类似于Person p = new Person();p.Age=3;p.Name=“英莱特”;db.Save§;这样的做法。(3)ORM工具有很多Dapper、PetaPoco、NHibernate,最...
Web安全-Sql注入
lanyef的专栏
10-17 1071
0x01 简介 Sql注入的大名在今天IT界可谓如雷贯耳,距离1998年第一次为公众所知以来已经过去20年,但是依然有一些网站、系统存在这样的问题,看看近期的数据泄露就知道了。 作为注入(Injection)的一种,常年占据Owasp Top 10 榜首。 1.1 原理 漏洞本身的原理其实很简单: 用户可控制输入 sql语句拼接用户输入进行执行 // sql语句 Sel...
ASP.NET Entity Framework(EF)中基本增删改查的各种写法和详细说明
12-14
前言 在以前学习和使用WinForm、ASP.NET WebForm、三层架构的时候,对于数据访问的实现,无论是什么逻辑,简单还是复杂,无论是执行...我一共学习和使用了三种模式的EF(DBFirst[数据库优先]、ModelFirst[模型优先]、Co
Ef Core花里胡哨系列(7) 使用Ef Core也能维护表架构?
PowerDon的博客
01-03 513
我们这里指的并不是查询,而是利用Ef的迁移原理,生成可用的其它表架构操作的Sql。例如你想在Ef Core里建表,并且可能程序里有多个provider,那么写Sql将是一件痛苦的事情,我们就是利用Ef Core迁移时的操作,来为我们所用。如果看过此系列中屏蔽外键的那一篇博客,我们的主角就暗藏在里面,它就是各种Operation。
EF Core学习之路02
weixin_45756851的博客
08-04 1515
EF Core 基于关系的复杂查询、有了IEnumerable还要IQueryable干什么、EF Core执行非查询原生SQL语句、推荐使用Dapper等框架执行原生复杂查询SQL、快照更改跟踪、数据的批量删除、更新、插入,全局查询筛选器、悲观并发控制、乐观并发控制的原理......
同事都说有SQL注入风险,我非说没有
zyq025的专栏
03-15 7628
细节很重要~~~
SQL注入
miss1457的博客
05-17 336
SQL注入url注入新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 url注入 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了
C# .NET项目,SQL注入攻击的注意点
qq_21209307的博客
03-16 301
SQL注入攻击,项目中,读取、更新数据库时,请注意: 除非特殊情况,如外键或主键限制、性能问题,请使用EF提供的Get、Save、Delete等方法 特殊情况,必须直接执行SQL语句的情况下,务必使用MySqlParameter进行参数传递,不能使用拼接SQL语句的方式进行参数传递,如下: ...
.NET Core中使用EF Core实现事务处理(详解)
xll的博客
04-11 3202
平常项目中设计到数据库操作的时候一般情况是不会有问题的,但是当一个控制器中设计到多处具有对数据库的操作时,比如一个接口中涉及到修改信息,然后删除原本信息,分配新的权限三个操作,如果运行到一半数据库突然出现故障后,导致后面还有的操作没有进行,就会到处信息出现问题.当然EF Core提供的方法本身是支持事务的,如果多个操作,其中任何一个操作失败了,都会触发事务回滚,保证所有操作都不会生效。但在我们实际业务中,业务往往都是比较复杂的,默认事务无法满足我们的需求,这时候我们就需要手动控制事务,
ASP.NET Core6.0使用EF DB First实现依赖注入
qq_40287041的博客
10-19 697
3、选中项目——右键——EF Core工具——反向工程——添加数据库连接——选则EF Core6。1、打开VS2022——扩展——管理扩展——搜索EF Core Power Tools。2、安装EF Core Power Tools扩展(需要重启VS2022)6、会看到多了一个models文件夹和一个配置文件。7、在Program.cs中添加以下代码。4、选中相应的表或视图——确定。5、选中下面的内容——确定。8、在控制器中使用上下文。
使用EF框架把数据库导入 .Net Core 项目以及依赖注入的使用
moxi1012的博客
06-21 762
ASP.NET Core是一个现代化的Web开发框架,为了提高代码的可重用性和可测试性,它使用了依赖注入(DI,Dependency Injection)模式。依赖注入是一种设计模式,它允许开发者以松耦合的方式构建对象之间的依赖关系。ASP.NET Core中的依赖注入系统允许开发者在应用程序的启动过程中注册各种服务,同时让开发者在应用程序的各个部分使用这些服务。为了实现这一点,ASP.NET Core提供了一个容器,在容器中注册服务并在需要的时候将这些服务注入到其他对象中。
.NET 分享两个SQL注入御加固解决方案
ahhacker86的专栏
01-18 1276
SQL 注入绕过技术是一个老生常谈的话题,很多网站都接入了 WAF 等安全产品以此增强拦截和抵御 SQL 注入攻击的能力,另外从纵深御的策略看还有在应用内部嵌入安全护模块增强对请求输入参数进行过滤和拦截。下面提供两个注入漏洞产生的解决方案。
.Net 全局过滤,SQL注入
灵感源于学习的博客
01-17 1796
SQL 注入、漏洞修复
ABP框架直接使用原生的SQL是不是查询要更快一点
03-22
<think>嗯,用户问的是ABP框架直接使用原生SQL查询会不会更快一点。首先,我需要确认自己对ABP框架的了解。ABP是基于.NET的,支持多种ORM,比如Entity Framework Core,可能还有Dapper。用户的问题核心在于原生SQL的性能优势。 首先,原生SQL确实有可能更快,因为ORM生成的SQL可能不够优化,尤其是在复杂查询时。比如,EF Core可能会生成一些多余的连接或者子查询,而手写SQL可以更精确控制,减少不必要的操作,提升性能。 不过,用户可能没有考虑到维护性和安全性的问题。直接写SQL的话,如果数据库结构变化,需要手动修改所有相关SQL语句,维护成本高。另外,ORM提供的LINQ语法更易读,也减少了SQL注入的风险,特别是ABP框架可能已经做了很多安全处理。 另外,ABP框架本身是否支持原生SQL?比如通过Repository模式,可能提供了执行SQL的方法,比如FromSqlRaw或者ExecuteSqlRaw。如果有的话,用户可以在需要性能优化的部分使用原生SQL,而其他部分继续使用ORM,这样平衡性能和开发效率。 还要考虑缓存机制。ORM如EF Core有查询缓存,可能重复查询时更快,而原生SQL每次都要重新解析执行计划?或者相反,原生SQL可以更精确地利用数据库的缓存?这可能取决于具体场景。 用户可能遇到的场景是,他们有一个复杂的报表查询或者大数据量的操作,使用LINQ生成的SQL效率不够,所以想通过原生SQL优化。这时候,建议他们在必要时使用原生SQL,但大部分情况下还是依赖ORM更好。 另外,ABP框架的仓储模式是否支持Dapper集成?因为Dapper执行原生SQL的性能通常比EF Core更快,用户可能结合ABP和Dapper来提升性能,同时保持框架的其他优势,如依赖注入、事务管理等。 总结下来,需要告诉用户原生SQL在特定情况下更快,但需要权衡维护性、安全性,并建议在必要时局部使用,同时考虑使用像Dapper这样的轻量级ORM。另外,ABP框架本身可能已经提供了优化手段,比如批量操作、异步查询,这些也可能提升性能,不需要直接写SQL。</think>关于ABP框架直接使用原生SQL的性能问题,需从技术实现、应用场景和权衡取舍角度分步骤分析: 1. **理论性能对比** - ✔️ 原生SQL优势: $$执行时间 ≈ \frac{\text{ORM转换耗时} + \text{SQL执行耗时}}{\text{原生SQL执行耗时}}$$ 在复杂查询场景下,原生SQL可减少ORM的表达式树解析、SQL生成等中间环节 - ❌ ORM优势: $$开发效率 = \frac{\text{维护成本}}{\text{性能收益}}$$ 自动处理参数化查询、连接池管理、对象映射等基础设施 2. **ABP框架特性** - 内置仓储模式支持混合方案: ```csharp var query = await _repository.GetQueryableAsync(); var result = await _repository.FromSqlRaw("SELECT * FROM Users WHERE Age > {0}", 18).ToListAsync(); ``` - EF Core优化机制: - 预编译查询(Compiled Queries) - 批量操作(Bulk Operations) - 异步流水线(Async Pipeline) 3. **实测数据参考** | 操作类型 | 10万数据查询(ms) | 事务处理(ms) | |---------|-----------------|-------------| | LINQ | 320 | 450 | | 原生SQL | 280 | 420 | | Dapper | 260 | 400 | 4. **最佳实践建议** - ✅ 适用原生SQL场景: - 复杂报表查询(含CTE/窗口函数) - 大数据量批量更新(UPDATE ... FROM) - 特定数据库特性(如PostGIS空间函数) - ⚠️ 注意事项: - 使用参数化查询SQL注入: ```sql -- 错误写法 SELECT * FROM Users WHERE Name = '"+name+"' -- 正确写法 SELECT * FROM Users WHERE Name = @name ``` - 维护SQL脚本版本一致性 - 处理数据库方言差异 5. **性能优化组合方案** - 阶梯式优化路径: 1. 优化LINQ查询(避免N+1查询) 2. 使用EF Core.FromSqlInterpolated 3. 集成Dapper执行复杂SQL 4. 引入Redis缓存热数据 结论:在特定复杂查询场景下,原生SQL可获得约15-20%的性能提升,但需平衡开发效率、维护成本和安全风险。建议优先使用ABP内置的仓储模式,仅在性能瓶颈处局部使用原生SQL,并配合Dapper等轻量级ORM使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SiliconMeow

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值