C#中如何使用EF Core执行原始SQL查询？安全吗？

在C#中使用EF Core执行原始SQL查询可通过FromSqlRaw、FromSqlInterpolated和ExecuteSqlRaw等方法实现，适用于复杂查询与性能优化。1. FromSqlRaw用于静态SQL查询，需手动处理参数；FromSqlInterpolated支持内插字符串并自动参数化，更安全。2. 执行非查询操作如UPDATE、DELETE应使用ExecuteSqlRaw或更推荐的ExecuteSqlInterpolated以防止注入风险。3. 安全性方面，禁止拼接用户输入到SQL字符串，必须使用参数化方式避免SQL注入。4. 原始SQL查询需返回实体对应列或主键，不支持直接投影到非实体类型，且结果默认可能不被上下文跟踪。正确使用参数化方法可确保操作安全可靠。

在C#中使用EF Core执行原始SQL查询是可行的，主要通过 FromSqlRaw、ExecuteSqlRaw 等方法实现。这类操作适用于复杂查询或性能优化场景，但需注意安全性。

1. 执行查询：FromSqlRaw 和 FromSqlInterpolated

FromSqlRaw：直接传入原始SQL字符串，适合静态SQL：

var blogs = context.Blogs
    .FromSqlRaw("SELECT * FROM Blogs WHERE Name LIKE '%{0}%'", searchTerm)
    .ToList();

FromSqlInterpolated：支持内插字符串，参数会自动参数化，更安全：

var blogs = context.Blogs
    .FromSqlInterpolated($"SELECT * FROM Blogs WHERE Name LIKE '%' + {searchTerm} + '%'")
    .ToList();

注意：SQL查询必须返回与实体对应的列，否则映射可能失败。

蓝心千询

蓝心千询是vivo推出的一个多功能AI智能助手

34

查看详情

2. 执行非查询语句：ExecuteSqlRaw

context.Database.ExecuteSqlRaw(
    "UPDATE Blogs SET Name = {0} WHERE Id = {1}", newName, blogId);

同样推荐使用 ExecuteSqlInterpolated 来避免拼接字符串：

context.Database.ExecuteSqlInterpolated(
    $"UPDATE Blogs SET Name = {newName} WHERE Id = {blogId}");

3. 安全性问题与防范措施

// 危险！不要这样做
var sql = $"SELECT * FROM Blogs WHERE Name = '{searchTerm}'";
context.Blogs.FromSqlRaw(sql);

正确做法是：

• 使用 FromSqlInterpolated 或 ExecuteSqlInterpolated，它们会自动将变量作为参数传递，防止注入。
• 若用 FromSqlRaw，确保所有用户输入都通过参数占位符传入，而不是字符串拼接。
• 避免将用户输入直接拼进SQL语句。

4. 使用原生SQL查询的限制

• 查询必须返回实体定义中的所有属性，或至少包含主键。
• 不能用于投影到非实体类型（除非使用 SqlQuery 或原生 ADO.NET）。
• 上下文不会自动跟踪原始SQL查询的结果，除非你使用的是 DbSet 查询且启用了变更追踪。

基本上就这些。只要避免字符串拼接、使用参数化方式，EF Core 的原始SQL查询是相对安全的。关键是别图省事直接拼SQL。

以上就是C#中如何使用EF Core执行原始SQL查询？安全吗？的详细内容，更多请关注php中文网其它相关文章！