C#中如何使用Dapper的动态参数？避免SQL注入风险？-C#.Net教程-PHP中文网

C#中如何使用Dapper的动态参数？避免SQL注入风险？

星降

发布： 2025-10-01 09:42:03

原创

913人浏览过

正确使用Dapper的匿名对象或DynamicParameters进行参数化查询可有效防止SQL注入。1. 推荐使用匿名对象传参，如new { Name = "张三", Age = 18 }，Dapper自动绑定属性名与SQL占位符，确保用户输入被视为数据而非代码；2. 复杂场景可用DynamicParameters添加输出参数或调用存储过程，仍保持参数化安全机制；3. 关键是杜绝SQL字符串拼接，禁用$""或string.Format插入用户输入，表名列名需通过白名单校验；4. 错误做法如直接拼接'{userName}'会引发注入风险，正确方式始终使用@参数占位符并配合Dapper参数机制，从而彻底避免SQL注入。

c#中如何使用dapper的动态参数？避免sql注入风险？

在C#中使用Dapper时，动态参数是通过 匿名对象 或 IDynamicParameters 接口实现的。正确使用这些参数不仅能简化代码，还能有效防止SQL注入攻击。

使用匿名对象传参（推荐）

Dapper支持直接将匿名对象作为参数传递，内部会自动解析属性名并绑定到SQL语句中的参数占位符。

SQL中的参数名需与匿名对象的属性名一致
Dapper会自动处理参数化查询，避免字符串拼接
数据库不会将用户输入当作SQL执行，从而防止注入

示例：

var sql = "SELECT * FROM Users WHERE Name = @Name AND Age > @Age";
var users = connection.Query(sql, new { Name = "张三", Age = 18 });

登录后复制

使用 DynamicParameters 扩展复杂场景

当需要添加输出参数、返回值或自定义类型时，可使用 DynamicParameters 类。

它允许你显式添加参数，并设置方向、类型等属性。

示例：

var parameters = new DynamicParameters();
parameters.Add("@Email", "user@example.com");
parameters.Add("@Count", dbType: DbType.Int32, direction: ParameterDirection.Output);
<p>connection.Execute("GetUserCountByEmail", parameters, commandType: CommandType.StoredProcedure);</p>
                    <div class="aritcle_card">
                        <a class="aritcle_card_img" href="/ai/%E5%8D%83%E9%9D%A2%E8%A7%86%E9%A2%91%E5%8A%A8%E6%8D%95">
                            <img src="https://img.php.cn/upload/ai_manual/000/000/000/175680315825545.png" alt="千面视频动捕">
                        </a>
                        <div class="aritcle_card_info">
                            <a href="/ai/%E5%8D%83%E9%9D%A2%E8%A7%86%E9%A2%91%E5%8A%A8%E6%8D%95">千面视频动捕</a>
                            <p>千面视频动捕是一个AI视频动捕解决方案，专注于将视频中的人体关节二维信息转化为三维模型动作。</p>
                            <div class="">
                                <img src="/static/images/card_xiazai.png" alt="千面视频动捕">
                                <span>27</span>
                            </div>
                        </div>
                        <a href="/ai/%E5%8D%83%E9%9D%A2%E8%A7%86%E9%A2%91%E5%8A%A8%E6%8D%95" class="aritcle_card_btn">
                            <span>查看详情</span>
                            <img src="/static/images/cardxiayige-3.png" alt="千面视频动捕">
                        </a>
                    </div>
                <p>int count = parameters.Get<int>("@Count");

登录后复制

这种方式依然使用参数化查询，不受用户输入内容影响。

如何确保防止SQL注入？

关键在于永远不要拼接用户输入到SQL字符串中。只要使用参数化查询，无论输入多恶意，都会被当作数据而非代码处理。

避免 string.Format 或 $"" 拼接SQL
不要把用户输入直接放入SQL字符串
表名、列名也不能用参数替换（参数只能用于值），这类场景需白名单校验或使用ORM辅助

错误示例（危险！）：

// 千万别这么写
string sql = $"SELECT * FROM Users WHERE Name = '{userName}'";

登录后复制

正确做法始终是：

string sql = "SELECT * FROM Users WHERE Name = @Name";
var user = connection.Query(sql, new { Name = userName });

登录后复制

基本上就这些。只要坚持用Dapper的参数机制传值，不拼SQL，就能有效规避绝大多数SQL注入风险。

以上就是C#中如何使用Dapper的动态参数？避免SQL注入风险？的详细内容，更多请关注php中文网其它相关文章！

大家都在看：

C# 如何安全地解析xml防止外部实体注入攻击 C# 如何创建并写入xml文件 C# 如何在xml中嵌入并读取二进制数据 C# 如何读取xml文件中的注释内容微服务中的服务注册与发现如何实现？