那些遇到过的问题

使用DbSet <T> .SqlQuery()时,如何使用命名参数?

Eri*_*ken 6 sql entity-framework sql-injection

我非常喜欢使用命名参数而不是基于字符串的参数注入.它对大多数形式的SQL注入都是类型安全且安全的.在旧的ADO.NET中,我会为我的查询创建一个SqlCommand对象和一堆SqlParameters.

var sSQL = "select * from Users where Name = @Name";
var cmd = new SqlCommand(conn, sSQL);
cmd.Parameters.AddWithValue("@Name", "Bob");
cmd.ExecuteReader();
Run Code Online (Sandbox Code Playgroud)

现在,在Entity Framework中,它(在此链接上)显示为已经回归到一个简单的String.Format语句和字符串注入:(简化讨论)

MyRepository.Users.SqlQuery("Select * from Users where Name = {0}", "Bob");
Run Code Online (Sandbox Code Playgroud)

有没有办法在Entity Framework DbSqlQuery类中使用命名参数?

gdo*_*ica 4 

var param = new ObjectParameter(":p0", "Bob");
MyRepository.Users.SqlQuery("Select * from Users where Name = :p0", param);
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

3685 次

最近记录:

11 年,9 月 前
相关归档
如何在不使用游标的情况下计算SQL中的运行总计? 24
无法在单元测试项目中使用ConfigurationManager 21
在Postgres整理的目的 17
如何在t-sql选择中执行简单的字符串映射? 12
将主键更改为组合键(主键已存在) 11
有什么理由不使用嵌套使用EF实体上下文? 7
如何根据字段Entity Framework 4.1的最大值选择行(对象) 7
linq to entity framework:在查询中使用字典 6
无法首先使用Npgsql和Entity Framework代码在PostreSQL中创建数据库 6
如何在控制台应用程序中设置默认连接字符串? 5
难疑归档
如何在JavaScript中获取查询字符串值? 2701
如何禁用textarea的resizable属性? 2541
如何格式化Microsoft JSON日期? 1954
ListView中的图像延迟加载 1881
什么是NullReferenceException,我该如何解决? 1876
如何用Vim中的换行符替换字符? 1870
按值对地图<键,值>进行排序 1569
在JavaScript中检测"无效日期"日期实例 1381
match_parent和fill_parent有什么区别? 1371
你如何重命名Git标签? 1162