Dan*_*ord 5 c# sql linq entity-framework-core
我正在尝试动态构建一个具有 X 个条件的原始 SQL 查询。我正在使用此页面上的信息:https : //docs.microsoft.com/en-us/ef/core/querying/raw-sql
目前我有类似的东西:
String rawQuery = "SELECT * FROM ItemsTable WHERE ";
foreach (f in FilterList) {
rawQuery = rawQuery + String.Format(f.condition, f.userInput);
// f.condition is something like "Name LIKE {0}"
}
var filteredItems = context.ItemsTable
.FromSql(rawQuery)
.ToList();
问题是,我的参数在使用 .FromSql() 时没有被替换,所以我很容易受到 SQL 注入攻击。
有没有办法使用 .FromSql() 来完成这个任务?
或者,还有其他方法可以防止 SQL 注入吗?
您可以使查询参数化,构建 SqlParameters 列表,然后将查询和参数传递到FromSql():
var rawQuery = new StringBuilder("SELECT * FROM ItemsTable WHERE ");
var sqlParameters = new List<SqlParameter>();
foreach (var f in FilterList) {
var parameterName = $"@p{FilterList.IndexOf(f)}";
var parameterizedCondition = string.Format(f.condition, parameterName);
// f.condition is something like "Name LIKE {0}"
rawQuery.Append(parameterizedCondition);
sqlParameters.Add(new SqlParameter(parameterName, f.userInput));
}
var filteredItems = context.ItemsTable
.FromSql(rawQuery.ToString(), sqlParameters)
.ToList();