EntityFramework Core 2.0执行原始查询如何防止SQL注入?
前言
接下來一段時間我們來講講EntityFramework Core基礎,精簡的內容,深入淺出,希望為想學習EntityFramework Core的童鞋提供一點幫助。
EntityFramework Core執行原始查詢
在EntityFramework Core中執行原始查詢我們借助FromSql來實現,如下:
using (var context = new EFCoreDbContext())
? ? ? ? ? ? {
? ? ? ? ? ? ? ? var orders = context.Orders
? ? ? ? ? ? ? ? ? ? .FromSql("SELECT * FROM dbo.Orders")
? ? ? ? ? ? ? ? ? ? .ToList();
? ? ? ? ? ? }
這是最簡單且不帶任何條件的查詢方式,接下來我們看看有條件的查詢我們應該如何查詢,如下:
using (var context = new EFCoreDbContext())
? ? ? ? ? ? {
? ? ? ? ? ? ? ? var parameters = new SqlParameter[]
? ? ? ? ? ? ? ? {
? ? ? ? ? ? ? ? ? ? new SqlParameter(){ ParameterName = "@p0", Value = 1, SqlDbType = System.Data.SqlDbType.Int }
? ? ? ? ? ? ? ? };
? ? ? ? ? ? ? ? var orders = context.Orders
? ? ? ? ? ? ? ? ? ? .FromSql("SELECT * FROM dbo.Orders WHERE Id = @p0", parameters)
? ? ? ? ? ? ? ? ? ? .ToList();
? ? ? ? ? ? }
除了以上利用參數化查詢方式外,若我們還借助string.format或者C# 6.0出現的新特性字符串插值即美元符號$來查詢最終生成的SQL是否仍然是以參數化查詢呢,我們來看看。
using (var context = new EFCoreDbContext())
? ? ? ? ? ? {
? ? ? ? ? ? ? ? var orders = context.Orders
? ? ? ? ? ? ? ? ? ? .FromSql($"SELECT * FROM dbo.Orders WHERE Id = {1}")
? ? ? ? ? ? ? ? ? ? .ToList();
? ? ? ? ? ? }
由上我們看出即使利用字符串插值最終仍然翻譯成參數化SQL。接下來我們再來看看字符串拼接查詢方式。
using (var context = new EFCoreDbContext())
? ? ? ? ? ? {
? ? ? ? ? ? ? ? var searchString = "Jeffcky";
? ? ? ? ? ? ? ? var blogs = context.Blogs
? ? ? ? ? ? ? ? ? ? .FromSql("SELECT Id, Name, CreatedTime, Url, ModifiedTime FROM dbo.Blogs " +
? ? ? ? ? ? ? ? ? ? "WHERE Name = '" + searchString + "'")
? ? ? ? ? ? ? ? ? ? .ToList();
? ? ? ? ? ? }
此時我們通過控制臺打印能夠看出最終生成的SQL語句是以字符串形式展示,在EntityFramework Core 2.0+上執行原始查詢的APi即FromSql有重載方法,如下:
public static IQueryable<TEntity> FromSql<TEntity>([NotNullAttribute] this IQueryable<TEntity> source, [NotNullAttribute][NotParameterized] FormattableString sql) where TEntity : class;我們利用上述FromSql重載方法傳遞字符串參數,同時在查詢字符串中添加對數據庫表操作,驗證EF Core是否能防止SQL注入。
using (var context = new EFCoreDbContext())
? ? ? ? ? ? {
? ? ? ? ? ? ? ? var searchString = "Jeffcky; DROP TABLE dbo.Blogs;";
? ? ? ? ? ? ? ? var blogs = context.Blogs
? ? ? ? ? ? ? ? ? ? .FromSql("SELECT Id, Name, Url, CreatedTime, ModifiedTime FROM dbo.Blogs "
? ? ? ? ? ? ? ? ? ? + " WHERE Name = {0}", searchString)
? ? ? ? ? ? ? ? ? ? .ToList();
? ? ? ? ? ? }
經過驗證您會發現上述我們注入上述Blogs表的SQL語句,最終表將不會刪除。我們看到當未利用重載方法進行字符串拼接,此時參數將以字符串形式展示,這種情況極易引起SQL注入問題。C# 6.0引入了字符串插值(String Interpolation),此特性能夠允許C#表達式直接嵌入到字符串文本中,為運行時構建字符串提供了一個很好的方法。在EF Core 2.0特性中,對FromSql和ExecuteSqlCommand方法都添加了對插入字符串的特殊支持。此新特性的支持允許以安全的方式使用C#字符串插值。即防止在運行時動態構建SQL時可能發生SQL注入問題。
是不是到了這里就這樣結束了呢?顯然不是這樣,接下來咱們再來看看另外一種情況,如下:
using (var context = new EFCoreDbContext())
? ? ? ? ? ? {
? ? ? ? ? ? ? ? var author = "Jeffcky Wang";
? ? ? ? ? ? ? ? var query = $"SELECT * FROM Blogs WHERE Name = {author}";
? ? ? ? ? ? ? ? var blogs = context.Blogs.FromSql(query).ToList();
? ? ? ? ? ? }
這樣的語法錯誤顯而易見,我們需要用單引號將變量包含起來才能避免語法錯誤,如下:
using (var context = new EFCoreDbContext())
? ? ? ? ? ? {
? ? ? ? ? ? ? ? var author = "Jeffcky Wang";
? ? ? ? ? ? ? ? var query = $"SELECT * FROM Blogs WHERE Name = '{author}'";
? ? ? ? ? ? ? ? var blogs = context.Blogs.FromSql(query).ToList();
? ? ? ? ? ? }
上述情況下,EF Core依然將執行明文字符串而不是作為變量查詢并未以參數化執行。如果變量包含惡意字符串,那么EF Core將根本無法防范并保護SQL。因此,如果我們需要通過EF Core執行原始T-SQL,則應使用參數化SQL或利用FormatttableString,FromSql有兩個重載,其一為通過FormatttableString可格式化字符串參數,其二為原始字符串且可傳遞查詢參數。所以上述錯誤,我們可利用FormatttableString來執行,同時在利用FromSql方法查詢過后我們仍可以繼續進行查詢,比如如下關聯查詢Posts表數據。
using (var context = new EFCoreDbContext())
? ? ? ? ? ? {
? ? ? ? ? ? ? ? var searchString = "Jeffcky Wang";
? ? ? ? ? ? ? ? FormattableString sql = $@"SELECT Id, Name, Url, CreatedTime, ModifiedTime FROM dbo.Blogs WHERE Name = {searchString}";
? ? ? ? ? ? ? ? var blogs = context.Blogs
? ? ? ? ? ? ? ? ? ? .FromSql(sql)
? ? ? ? ? ? ? ? ? ? .Include(d => d.Posts)
? ? ? ? ? ? ? ? ? ? .ToList();
? ? ? ? ? ? }
通過【$@】并利用FormattableString重載或者傳遞參數化變量來防止SQL注入問題,希望您發現EF Core 2.0中這個新特性,同時不要忘記它也用來承擔更大的責任,由于SQL注入攻擊,不會讓我們所寫代碼存在漏洞。
總結
本節我們詳細講解了EF Core 2.0中執行原始查詢如何防止SQL注入問題,精簡的內容,簡單的講解,希望能幫助到您。我們明天再會。
原文:https://www.cnblogs.com/CreateMyself/p/8481331.html
.NET社區新聞,深度好文,歡迎訪問公眾號文章匯總 http://www.csharpkit.com
總結
以上是生活随笔為你收集整理的EntityFramework Core 2.0执行原始查询如何防止SQL注入?的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: C#热度不如Java?网友呛声:还有使用
- 下一篇: EF Core下利用Mysql进行数据存