EF Core 中避免 SQL 注入的三种写法

最新推荐文章于 2025-06-11 00:16:34 发布
原创 最新推荐文章于 2025-06-11 00:16:34 发布 · 607 阅读 · 1 ·
CC 4.0 BY-SA版权
本文为博主学习实践所写,如有谬误之处欢迎指正。
文章标签:

#c# #.netcore

SQL 注入攻击可能会对我们的应用程序产生严重影响,导致敏感数据泄露、未经授权的访问和应用程序受损。EF Core 提供了三种内置机制来防止 SQL 注入攻击。

1、利用 LINQ 查询语法和参数化查询,这是比较推荐的做法。

await using var context = new PostgresContext();  
var author = "江";  
var blog = await context.Blogs.Where(s=>s.Author == author + "山").FirstOrDefaultAsync();

生成的查询脚本如下:

SELECT b.author, b.blogid, b.url
FROM blog AS b
WHERE b.author = @__p_0
LIMIT 1

2、使用 FromSql

对于一些复杂的查询,需要直接使用 SQL 查询脚本的,如果是 EF Core 7.0 以上版本可以使用 FromSql。

await using var context = new PostgresContext();  
var author = "江山";
var blog = await context.Blogs.FromSql($"SELECT * FROM blog WHERE author = '{author}'").FirstOrDefaultAsync();

生成的查询脚本如下:

SELECT e.author, e.blogid, e.url
FROM (
    SELECT * FROM blog WHERE author = '@p0'
) AS e
LIMIT 1

它会自动识别字符串中的 {author} 这样的字符,用参数替换掉。

3、使用 FromSqlRaw

FromSqlRaw 也可以执行 SQL,但是需要特别注意。

先看下面的代码:

await using var context = new PostgresContext();  
var author = "江山";    
var blog = await context.Blogs.FromSqlRaw("SELECT * FROM blog WHERE author = '{0}'",author).FirstOrDefaultAsync();

生成的查询脚本如下:

SELECT e.author, e.blogid, e.url
FROM (
    SELECT * FROM blog WHERE author = '@p0'
) AS e
LIMIT 1

上面的结果是安全的。现在,把脚本改成"+"号拼接:

var blog = await context.Blogs.FromSqlRaw("SELECT * FROM blog WHERE author = '"+author+"'").FirstOrDefaultAsync();

生成的脚本如下:

SELECT e.author, e.blogid, e.url
FROM (
    SELECT * FROM blog WHERE author = '江山'
) AS e
LIMIT 1

这样就不安全了。

这就是 EF Core 中避免 SQL 注入的三种方式,希望对你有帮助。

Ef Core花里胡哨系列(7) 使用Ef Core也能维护表架构?
PowerDon的博客
01-03 575
我们这里指的并不是查询,而是利用Ef的迁移原理,生成可用的其它表架构操作的Sql。例如你想在Ef Core里建表,并且可能程序里有多个provider,那么写Sql将是一件痛苦的事情,我们就是利用Ef Core迁移时的操作,来为我们所用。如果看过此系列中屏蔽外键的那一篇博客,我们的主角就暗藏在里面,它就是各种Operation。
EF Core学习之路02
weixin_45756851的博客
08-04 1556
EF Core 基于关系的复杂查询、有了IEnumerable还要IQueryable干什么、EF Core执行非查询原生SQL语句、推荐使用Dapper等框架执行原生复杂查询SQL、快照更改跟踪、数据的批量删除、更新、插入,全局查询筛选器、悲观并发控制、乐观并发控制的原理......
Entity Framework关于SQL注入安全问题
weixin_34270606的博客
12-14 378
1、EF生成的sql语句,用 parameter 进行传值,所以不会有sql注入问题 2、EF下有涉及外部输入参数传值的,禁止使用EF直接执行sql命令方式,使用实体 SQL   参考: https://msdn.microsoft.com/zh-cn/library/cc716760(v=vs.110).aspx   SQL 注入式攻击。 应用程序经常接受外部输入(...
EFsql注入
bangzhaigui5960的博客
12-19 1009
EF作为一个orm框架,本身以及放置了sql注入,但是如果我们需要执行sql语句的时候了?比如,我们需要查询视图"select * from VM where 条件 = {0}",此时,sql是可以注入的 那么,我们该如何注入呢?在论坛找到一个方法,收藏下,哈哈 function bool SS(string no) { try{ string sql = "sele...
SQL注入式攻击
qingYun1029的博客
11-04 737
参考文章。。http://topic.csdn.net/u/20101104/16/644c332c-de0c-4d46-b3bf-bffb0eeea3b8.html?24431http://topic.csdn.net/u/20101104/15/5f5e9805-a017-4d44-b2be-f50516f11add.html
sql注入pythonpoco_.NET EF(Entity Framework)详解
weixin_36371504的博客
02-11 342
一丶Entity Framework(一)EF简介(1)ORM:Object Relation Mapping ,通俗说:用操作对象的方式来操作数据库。(2)插入数据库不再是执行Insert,而是类似于Person p = new Person();p.Age=3;p.Name=“英莱特”;db.Save§;这样的做法。(3)ORM工具有很多Dapper、PetaPoco、NHibernate,最...
Web安全-Sql注入
lanyef的专栏
10-17 1105
0x01 简介 Sql注入的大名在今天IT界可谓如雷贯耳,距离1998年第一次为公众所知以来已经过去20年,但是依然有一些网站、系统存在这样的问题,看看近期的数据泄露就知道了。 作为注入(Injection)的一种,常年占据Owasp Top 10 榜首。 1.1 原理 漏洞本身的原理其实很简单: 用户可控制输入 sql语句拼接用户输入进行执行 // sql语句 Sel...
ASP.NET Entity Framework(EF)中基本增删改查的各种写法和详细说明
12-14
前言 在以前学习和使用WinForm、ASP.NET WebForm、三层架构的时候,对于数据访问的实现,无论是什么逻辑,简单还是复杂,无论是执行...我一共学习和使用了三种模式的EF(DBFirst[数据库优先]、ModelFirst[模型优先]、Co
.NET CoreEFCore初步探索(二)
nakedkai的博客
06-11 927
本文深入探讨EF Core的两种配置方式:Data Annotations和Fluent API。Data Annotations通过特性简单配置实体类,但存在耦合问题;Fluent API使用独立配置类实现解耦,支持更复杂的配置需求。文章详细介绍了Fluent API的常用方法,包括表名映射、属性配置、主键设置、默认值、索引等,并解释了方法链式调用的原理和限制。作者建议在项目中选择一致的配置方式,谨慎使用EF Core的高级特性以避免过度复杂化。
你的关键说明中的第一和第三种写法不是一样的吗?为什么一个正确一个错误
最新发布
11-22
你指出的问题是对的 —— 原文的关键说明中措辞有歧义,容易让人误解为“两种写法都合法”。实际上: > 只有一种写法是合法且正确的: > **`inputList.Contains(entity.Field)`** 另一种写法要么编译失败,要么...
同事都说有SQL注入风险,我非说没有
zyq025的专栏
03-15 7648
细节很重要~~~
SQL注入
miss1457的博客
05-17 354
SQL注入url注入新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 url注入 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了
易语言mysql注入模块_asp下的风讯用的SQL通用注入模块提供了
weixin_42371234的博客
02-05 258
DimFS_NoSqlHack_AllStr,FS_NoSqlHack_Str,FS_NoSqlHack_ComeUrlGet,FS_NoSqlHack_ComeUrlPost,FS_NoSqlHack_Get,FS_NoSqlHack_Post,FS_NoSqlHack_i'OnErrorResumeNextFS_NoSqlHack_AllStr="'|;|and|chr(|exec...
efcore mysql autofac_第三十二节:比较Core中的内置注入EFCore注入、AutoFac改造后的注入的生命周期问题...
weixin_30230059的博客
02-01 460
. Core的内置注入类和接口的准备public interfaceIU1{string guid { get; set; }}public interfaceIU2{string guid { get; set; }}public interfaceIU3{string guid { get; set; }}public interfaceIU4{string guid { get; set;...
​[特殊字符] 告别SQL!用C#EF框架轻松操作数据库,新手也能写出高效代码
Rocn666的博客
04-04 1614
Entity Framework(EF)是微软推出的,用于简化数据库操作,将数据库表映射为.NET对象,使开发者通过面向对象的方式操作数据库。以下从等方面对EF进行深度解析。
.Net 全局过滤,SQL注入
灵感源于学习的博客
01-17 1967
SQL 注入、漏洞修复
八、EFCore系列之EFCore中使用原生SQL语句
weixin_45666156的博客
02-08 1422
对比总结方法用途参数化方式返回值适用场景执行参数化 SQL 命令自动(字符串插值)int简单的增删改操作执行原始 SQL 命令手动(参数数组)int动态生成的 SQL 命令执行参数化 SQL 查询自动(字符串插值)查询操作,结果映射到实体FromSqlRaw执行原始 SQL 查询手动(参数数组)IQueryable<T> 动态生成的 SQL 查询SqlQuery执行参数化 SQL 命令自动(字符串插值)适合直接映射到实体或 DTO选择建议安全性优先。
ASP.NET Core6.0使用EF DB First实现依赖注入
qq_40287041的博客
10-19 772
3、选中项目——右键——EF Core工具——反向工程——添加数据库连接——选则EF Core6。1、打开VS2022——扩展——管理扩展——搜索EF Core Power Tools。2、安装EF Core Power Tools扩展(需要重启VS2022)6、会看到多了一个models文件夹和一个配置文件。7、在Program.cs中添加以下代码。4、选中相应的表或视图——确定。5、选中下面的内容——确定。8、在控制器中使用上下文。
c# EF6.0 update 写法
06-05
### C# EF6.0 Update 实现方式 在C#中使用Entity Framework 6.0(EF6.0)进行数据更新操作时,通常需要先从数据库中查询出目标实体对象,然后修改其属性值,并调用`SaveChanges()`方法将更改保存到数据库中。以下是具体的实现方式和示例代码。 #### 示例代码 以下是一个完整的示例,展示如何使用EF6.0更新数据库中的数据: ```csharp using System; using System.Linq; using Microsoft.EntityFrameworkCore; namespace EFUpdateExample { public class BloggingContext : DbContext { public DbSet<Blog> Blogs { get; set; } public DbSet<Post> Posts { get; set; } protected override void OnConfiguring(DbContextOptionsBuilder optionsBuilder) { optionsBuilder.UseSqlServer(@"Server=(localdb)\mssqllocaldb;Database=EFGetStarted.ConsoleApp.NewDb;Trusted_Connection=True;"); } } public class Blog { public int BlogId { get; set; } public string Url { get; set; } } public class Program { public static void Main() { using (var context = new BloggingContext()) { // 查询要更新的记录 var blogToUpdate = context.Blogs.FirstOrDefault(b => b.BlogId == 1); if (blogToUpdate != null) { // 修改属性值 blogToUpdate.Url = "https://newurl.com"; // 提交更改 context.SaveChanges(); Console.WriteLine("博客URL已成功更新!"); } else { Console.WriteLine("未找到指定的博客记录。"); } } } } } ``` #### 注意事项 1. 在查询数据时,**不要使用`AsNoTracking()`方法**,否则实体对象将不会被上下文跟踪,导致无法更新数据[^3]。 2. 更新操作的核心在于对查询结果的属性进行修改后调用`SaveChanges()`方法,这会将更改同步到数据库中[^3]。 3. 如果需要批量更新,可以考虑使用原始SQL语句或第三方库(如EntityFramework.Extended),以提高性能[^2]。 #### 使用原始SQL语句进行更新 如果需要直接执行SQL语句来完成更新操作,可以使用`DbContext.Database.ExecuteSqlRaw`或`ExecuteSqlCommand`方法。例如: ```csharp using (var context = new BloggingContext()) { context.Database.ExecuteSqlRaw("UPDATE Blogs SET Url = {0} WHERE BlogId = {1}", "https://newurl.com", 1); Console.WriteLine("博客URL已通过SQL语句成功更新!"); } ``` 这种方法适用于需要高效执行批量更新或复杂更新逻辑的场景[^2]。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LeiCodeX

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值