前言
接下來一段時間我們來講講EntityFramework Core基礎,精簡的內容,深入淺出,希望為想學習EntityFramework Core的童鞋提供一點幫助。
EntityFramework Core執行原始查詢
在EntityFramework Core中執行原始查詢我們借助FromSql來實現,如下:
using (var context = new EFCoreDbContext()) { var orders = context.Orders .FromSql("SELECT * FROM dbo.Orders") .ToList(); }
這是最簡單且不帶任何條件的查詢方式,接下來我們看看有條件的查詢我們應該如何查詢,如下:
using (var context = new EFCoreDbContext()) { var parameters = new SqlParameter[] { new SqlParameter(){ ParameterName = "@p0", Value = 1, SqlDbType = System.Data.SqlDbType.Int } }; var orders = context.Orders .FromSql("SELECT * FROM dbo.Orders WHERE Id = @p0", parameters) .ToList(); }
除了以上利用參數化查詢方式外,若我們還借助string.format或者C# 6.0出現的新特性字符串插值即美元符號$來查詢最終生成的SQL是否仍然是以參數化查詢呢,我們來看看。
using (var context = new EFCoreDbContext()) { var orders = context.Orders .FromSql($"SELECT * FROM dbo.Orders WHERE Id = {1}") .ToList(); }
由上我們看出即使利用字符串插值最終仍然翻譯成參數化SQL。接下來我們再來看看字符串拼接查詢方式。
using (var context = new EFCoreDbContext()) { var searchString = "Jeffcky"; var blogs = context.Blogs .FromSql("SELECT Id, Name, CreatedTime, Url, ModifiedTime FROM dbo.Blogs " + "WHERE Name = '" + searchString + "'") .ToList(); }
此時我們通過控制台打印能夠看出最終生成的SQL語句是以字符串形式展示,在EntityFramework Core 2.0+上執行原始查詢的APi即FromSql有重載方法,如下:
public static IQueryable<TEntity> FromSql<TEntity>([NotNullAttribute] this IQueryable<TEntity> source, [NotNullAttribute][NotParameterized] FormattableString sql) where TEntity : class;
我們利用上述FromSql重載方法傳遞字符串參數,同時在查詢字符串中添加對數據庫表操作,驗證EF Core是否能防止SQL注入。
using (var context = new EFCoreDbContext()) { var searchString = "Jeffcky; DROP TABLE dbo.Blogs;"; var blogs = context.Blogs .FromSql("SELECT Id, Name, Url, CreatedTime, ModifiedTime FROM dbo.Blogs " + " WHERE Name = {0}", searchString) .ToList(); }
經過驗證您會發現上述我們注入上述Blogs表的SQL語句,最終表將不會刪除。我們看到當未利用重載方法進行字符串拼接,此時參數將以字符串形式展示,這種情況極易引起SQL注入問題。C# 6.0引入了字符串插值(String Interpolation),此特性能夠允許C#表達式直接嵌入到字符串文本中,為運行時構建字符串提供了一個很好的方法。在EF Core 2.0特性中,對FromSql和ExecuteSqlCommand方法都添加了對插入字符串的特殊支持。此新特性的支持允許以安全的方式使用C#字符串插值。即防止在運行時動態構建SQL時可能發生SQL注入問題。
是不是到了這里就這樣結束了呢?顯然不是這樣,接下來咱們再來看看另外一種情況,如下:
using (var context = new EFCoreDbContext()) { var author = "Jeffcky Wang"; var query = $"SELECT * FROM Blogs WHERE Name = {author}"; var blogs = context.Blogs.FromSql(query).ToList(); }
這樣的語法錯誤顯而易見,我們需要用單引號將變量包含起來才能避免語法錯誤,如下:
using (var context = new EFCoreDbContext()) { var author = "Jeffcky Wang"; var query = $"SELECT * FROM Blogs WHERE Name = '{author}'"; var blogs = context.Blogs.FromSql(query).ToList(); }
上述情況下,EF Core依然將執行明文字符串而不是作為變量查詢並未以參數化執行。如果變量包含惡意字符串,那么EF Core將根本無法防范並保護SQL。因此,如果我們需要通過EF Core執行原始T-SQL,則應使用參數化SQL或利用FormatttableString,FromSql有兩個重載,其一為通過FormatttableString可格式化字符串參數,其二為原始字符串且可傳遞查詢參數。所以上述錯誤,我們可利用FormatttableString來執行,同時在利用FromSql方法查詢過后我們仍可以繼續進行查詢,比如如下關聯查詢Posts表數據。
using (var context = new EFCoreDbContext()) { var searchString = "Jeffcky Wang"; FormattableString sql = $@"SELECT Id, Name, Url, CreatedTime, ModifiedTime FROM dbo.Blogs WHERE Name = {searchString}"; var blogs = context.Blogs .FromSql(sql) .Include(d => d.Posts) .ToList(); }
通過【$@】並利用FormattableString重載或者傳遞參數化變量來防止SQL注入問題,希望您發現EF Core 2.0中這個新特性,同時不要忘記它也用來承擔更大的責任,由於SQL注入攻擊,不會讓我們所寫代碼存在漏洞。
總結
本節我們詳細講解了EF Core 2.0中執行原始查詢如何防止SQL注入問題,精簡的內容,簡單的講解,希望能幫助到您。我們明天再會。