EF自带防SQL注入 FromSqlInterpolated方法——无法查询BUG

最新推荐文章于 2023-12-16 22:11:37 发布
最新推荐文章于 2023-12-16 22:11:37 发布
阅读量3.1k 收藏 2
点赞数 1
分类专栏: sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A_158/article/details/111919787
版权

项目场景:

项目场景:项目使用.net core EF做SQL查询,为了懒省事儿,使用EF自带防止SQL注入方法:FromSqlInterpolated 。

问题描述:

发现屏蔽了like %查询使得无法查询出数据!

防SQL注入错误代码:

@Override
        public void run() {
           string name='张三'; 
           FormattableString fstr=$@"select * from staff where IsEnabled=1 and StaffName like Concat('%','{name}','%')";
           db.FromSqlInterpolated (fstr);
        }

原因分析:

EF自带的过滤后查询不到“张三”,多次测试SQL语句,过滤将特殊字符 like ,%等 给过滤导致查询失败。

解决方案:

使用FromSqlRaw 方法,自定义Paramtter,例子如下(Mysql方式,SQLSERVER去掉My):

防SQL注入正确代码:

@Override
        public void run() {
           string name='张三'; 
           MySqlParameter[] sqlparment=new MySqlParameter[]{ new  MySqlParameter("@TestName",name)};
           FormattableString fstr=$@"select * from staff where IsEnabled=1 and StaffName like @TestName ";
           db.FromSqlRaw(fstr,sqlparment);
        }
object-null
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ef 执行mysql语句_EF Core中执行Sql语句查询操作之FromSql,ExecuteSqlCommand,SqlQuery
weixin_29388659的博客
02-23 1390
一、目前EF Core的版本为V2.1相比较EF Core v1.0 目前已经增加了不少功能。EF Core除了常用的增删改模型操作,Sql语句在不少项目中是不能避免的。在EF Core中上下文,可以返货DbConnection ,执行sql语句。这是最底层的操作方式,代码写起来还是挺多的。初次之外 EF Core中还支持 FromSql,ExecuteSqlCommand 连个方法,用于更方便的...
EFCore——原生Sql语句(12)
世界既不黑也不白,而是一道精致的灰。
01-10 4308
原生Sql语句一、在EFCore的体系下执行原生SQL1.执行查询原生sql(FromSqlInterpolated)2.执行非查询sql(ExecuteSqlInterpolatedAsync)二、使用ADO.NET体系下执行纯原生SQL1.为什么使用ADO.NET2.ADO.NET举例 一、在EFCore的体系下执行原生SQL 1.执行查询原生sql(FromSqlInterpolated) 1.在EFCore体系执行SQL有很大的限制,但较为方便 2.执行原生查询Sql语句 //使用了插值函数,Art
ASP.NET Core 3.1系列(18)——EFCore中执行原生SQL语句
HerryDong的博客
12-06 3430
前一篇博客介绍了中常见的一些查询操作,使用或结合实体类的操作相当方便。但在某些特殊情况下,我们仍旧需要使用原生来获取数据。好在EFCore中提供了完整的方法支持原生,下面开始介绍。与之前一样,还是使用和数据表,它们是一对多的关系,为表中的外键。表数据如下所示:表数据如下所示:代码如下: 代码如下: 代码如下: 3、执行原生SQL查询操作 3.1、FromSqlInterpolated 如果是针对单表的查询操作,可以使用方法,但是该方法有以下局限性:下面将查询查询表中且的记录,代码如下: 运行结果如下所示:
EFCore基础之如何执行原生SQL语句
物联网大联盟
12-16 2224
EF Core提升了CRUD的开发效率,但有些场景下需要执行一些复杂SQL语句,而且对执行效率有很高要求,怎么办呢?
使用EF Core 6执行原始SQL查询
寒冰屋的专栏
01-11 5499
在本文中,我们将探讨在EF Core中运行行SQL的现有选项和自定义选项,但更侧重于使用ADO.NET的扩展方法实现。
同事都说有SQL注入风险,我非说没有
zyq025的专栏
03-15 7483
细节很重要~~~
FormattableString 取代特定区域字符串
喵叔
03-07 3221
有些软件系统是针对全球来开发的,因此一些字符串需要根据不同地区不同语言做出特定的处理。如果针对不同地区不同用语言分别编写字符串处理方法的话代码量是巨大的。那么这个时候我们可以用到内插字符串深层的特性,C# 会把内插字符串的结果隐式的转换成 string 或者 FormattableString 。 例如下面这个例子,内插字符串的结果将是 string 类型: string message = $"...
EF Core执行原生SQL语句的一个扩展方法
最新发布
12-16
EFCore下执行原生SQL查询语句的方法——FromSqlRaw和FromSqlInterpolated,不能查找部分列,只能查找全部列,而且只能单表查询,不能使用join联查,这是这两个方法的局限性。 而实际场景中,我们经常会处理一些...
.net core实用技巧——将EF Core生成的SQL语句显示在控制台中
10-14
通过这种方式,你可以实时查看EF Core生成的SQL语句,以便于分析查询性能、调试和优化数据库操作。这种做法对于理解应用程序如何与数据库交互,以及在复杂查询中查找可能的性能问题非常有用。在实际开发中,你还可以...
在.NET Core类库中使用EF Core迁移数据库到SQL Server的方法
10-18
本文将详细介绍如何在.NET Core类库中利用EF Core进行数据库迁移,将数据模型的变化同步到SQL Server数据库。 首先,数据库迁移是EF Core提供的一项功能,它允许我们在开发过程中对数据库结构进行动态更新,而不必...
EFcore Repository 依赖注入方式实现数据库基本操作
02-08
它支持多种数据库系统,如SQL Server、SQLite、MySQL等,并提供了查询、事务、仓储(Repository)等特性。 2. **依赖注入的概念** 依赖注入是一种编程实践,它允许我们在运行时将依赖项传递给类,而不是在类内部...
关闭EntityFramework日志输出SQL
拥有必珍惜
11-23 695
EntityFramework日志输出SQL。
EF Core 2.0 执行原始查询如何SQL注入
weixin_30307921的博客
03-19 524
using (var context = new EFCoreDbContext()) { var searchString = "Jeffcky Wang"; FormattableString sql = $@"SELECT Id, Name, Url, CreatedTime, ModifiedTime FROM dbo.Blogs WHERE Name = {se...
EF Core学习之路02
weixin_45756851的博客
08-04 1395
EF Core 基于关系的复杂查询、有了IEnumerable还要IQueryable干什么、EF Core执行非查询原生SQL语句、推荐使用Dapper等框架执行原生复杂查询SQL、快照更改跟踪、数据的批量删除、更新、插入,全局查询筛选器、悲观并发控制、乐观并发控制的原理......
efcore调用函数_EFCore执行Sql语句的方法FromSql与ExecuteSqlCommand
weixin_39625162的博客
12-24 481
前言在EFCore中执行Sql语句的方法为:FromSql与ExecuteSqlCommand;在EF6中的为SqlQuery与ExecuteSqlCommand,而FromSql和SqlQuery有很大区别,FromSql返回值为IQueryable,因此为延迟加载的,可以与Linq扩展方法配合使用,但是有不少的坑(EFCore版本为1.1.0),直接执行Sql语句的建议不要使用FromSql,...
EFCore之执行原生SQL语句
未来的路在脚下
06-27 7096
EFCore通过 LINQ 语法为我们提供了非常便利的方式来操作数据库。当有些业务逻辑较复杂而不能使用 LINQ 来查询时,可以使用原生 SQL 查询。或者使用 LINQ 查询导致 SQL 查询效率低下时,也可以使用原生 SQL 查询
EF执行SQL语句
烟花易冷
09-19 4362
使用EF框架的过程中,有时需要执行SQL语句来提升查询性能,如执行存储过程,进行复杂查询等。下面介绍如何在EF中执行SQL语句。 1.EF执行 SQL查询 string sql = "SELECT sStuID,sStuName FROM [dbo].[Students] WHERE sClassID = @classID"; var student = db.Database.SqlQue...
.NET EFCore之增删改查
wubaohu1314的博客
12-22 3702
  1. 连接数据库   通过依赖注入配置应用程序,通过startup类的ConfigureService方法中的AddDbContext将EFCore添加到依赖注入容器   public void ConfigureServices(IServiceCollection services)   {   services.AddControllers();   services.AddDbContext(   options => options.UseMySql(Configurat..
.net core实用技巧——将EF Core生成的SQL语句显示在控制台中.docx
01-13
通过这种方式,开发者可以在不影响正常应用运行的情况下,查看和分析EF Core生成的SQL查询,这对于跟踪查询性能瓶颈、优化查询策略以及调试数据库交互异常都极其有用。这个技巧为.NET Core开发者提供了一种实用且...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值