EntityFramework Core 2.0執行原始查詢如何防止SQL注入?
前言
接下來一段時間我們來講講EntityFramework Core基礎,精簡的內容,深入淺出,希望為想學習EntityFramework Core的童鞋提供一點幫助。
EntityFramework Core執行原始查詢
在EntityFramework Core中執行原始查詢我們藉助FromSql來實現,如下:
using (var context = new EFCoreDbContext())
{
var orders = context.Orders
.FromSql("SELECT * FROM dbo.Orders")
.ToList();
}
這是最簡單且不帶任何條件的查詢方式,接下來我們看看有條件的查詢我們應該如何查詢,如下:
using (var context = new EFCoreDbContext())
{
var parameters = new SqlParameter[]
{
new SqlParameter(){ ParameterName = "@p0", Value = 1, SqlDbType = System.Data.SqlDbType.Int }
};
var orders = context.Orders
.FromSql("SELECT * FROM dbo.Orders WHERE Id = @p0", parameters)
.ToList();
}
除了以上利用參數化查詢方式外,若我們還藉助string.format或者C# 6.0出現的新特性字元串插值即美元符號$來查詢最終生成的SQL是否仍然是以參數化查詢呢,我們來看看。
using (var context = new EFCoreDbContext())
{
var orders = context.Orders
.FromSql($"SELECT * FROM dbo.Orders WHERE Id = ")
.ToList();
}
由上我們看出即使利用字元串插值最終仍然翻譯成參數化SQL。接下來我們再來看看字元串拼接查詢方式。
using (var context = new EFCoreDbContext())
{
var searchString = "Jeffcky";
var blogs = context.Blogs
.FromSql("SELECT Id, Name, CreatedTime, Url, ModifiedTime FROM dbo.Blogs " +
"WHERE Name = "" + searchString + """)
.ToList();
}
此時我們通過控制台列印能夠看出最終生成的SQL語句是以字元串形式展示,在EntityFramework Core 2.0+上執行原始查詢的APi即FromSql有重載方法,如下:
publicstaticIQueryable FromSql([NotNullAttribute]thisIQueryable source, [NotNullAttribute][NotParameterized] FormattableString sql)whereTEntity :class;
我們利用上述FromSql重載方法傳遞字元串參數,同時在查詢字元串中添加對資料庫表操作,驗證EF Core是否能防止SQL注入。
using (var context = new EFCoreDbContext())
{
var searchString = "Jeffcky; DROP TABLE dbo.Blogs;";
var blogs = context.Blogs
.FromSql("SELECT Id, Name, Url, CreatedTime, ModifiedTime FROM dbo.Blogs "
+ " WHERE Name = ", searchString)
.ToList();
}
經過驗證您會發現上述我們注入上述Blogs表的SQL語句,最終表將不會刪除。我們看到當未利用重載方法進行字元串拼接,此時參數將以字元串形式展示,這種情況極易引起SQL注入問題。C# 6.0引入了字元串插值(String Interpolation),此特性能夠允許C#表達式直接嵌入到字元串文本中,為運行時構建字元串提供了一個很好的方法。在EF Core 2.0特性中,對FromSql和ExecuteSqlCommand方法都添加了對插入字元串的特殊支持。此新特性的支持允許以安全的方式使用C#字元串插值。即防止在運行時動態構建SQL時可能發生SQL注入問題。
是不是到了這裡就這樣結束了呢?顯然不是這樣,接下來咱們再來看看另外一種情況,如下:
using (var context = new EFCoreDbContext())
{
var author = "Jeffcky Wang";
var query = $"SELECT * FROM Blogs WHERE Name = ";
var blogs = context.Blogs.FromSql(query).ToList();
}
這樣的語法錯誤顯而易見,我們需要用單引號將變數包含起來才能避免語法錯誤,如下:
using (var context = new EFCoreDbContext())
{
var author = "Jeffcky Wang";
var query = $"SELECT * FROM Blogs WHERE Name = """;
var blogs = context.Blogs.FromSql(query).ToList();
}
上述情況下,EF Core依然將執行明文字元串而不是作為變數查詢並未以參數化執行。如果變數包含惡意字元串,那麼EF Core將根本無法防範並保護SQL。因此,如果我們需要通過EF Core執行原始T-SQL,則應使用參數化SQL或利用FormatttableString,FromSql有兩個重載,其一為通過FormatttableString可格式化字元串參數,其二為原始字元串且可傳遞查詢參數。所以上述錯誤,我們可利用FormatttableString來執行,同時在利用FromSql方法查詢過後我們仍可以繼續進行查詢,比如如下關聯查詢Posts表數據。
using (var context = new EFCoreDbContext())
{
var searchString = "Jeffcky Wang";
FormattableString sql = $@"SELECT Id, Name, Url, CreatedTime, ModifiedTime FROM dbo.Blogs WHERE Name = ";
var blogs = context.Blogs
.FromSql(sql)
.Include(d => d.Posts)
.ToList();
}
通過【$@】並利用FormattableString重載或者傳遞參數化變數來防止SQL注入問題,希望您發現EF Core 2.0中這個新特性,同時不要忘記它也用來承擔更大的責任,由於SQL注入攻擊,不會讓我們所寫代碼存在漏洞。
總結
本節我們詳細講解了EF Core 2.0中執行原始查詢如何防止SQL注入問題,精簡的內容,簡單的講解,希望能幫助到您。我們明天再會。
原文:https://www.cnblogs.com/CreateMyself/p/8481331.html
※用C#編寫Linux守護進程
※NET Core單文件發布靜態編譯AOT CoreRT
TAG:dotNET跨平台 |