EntityFramework Core 2.0执行原始查询如何防止SQL注入?
前言
接下來(lái)一段時(shí)間我們來(lái)講講EntityFramework Core基礎(chǔ),精簡(jiǎn)的內(nèi)容,深入淺出,希望為想學(xué)習(xí)EntityFramework Core的童鞋提供一點(diǎn)幫助。
EntityFramework Core執(zhí)行原始查詢
在EntityFramework Core中執(zhí)行原始查詢我們借助FromSql來(lái)實(shí)現(xiàn),如下:
using (var context = new EFCoreDbContext())
? ? ? ? ? ? {
? ? ? ? ? ? ? ? var orders = context.Orders
? ? ? ? ? ? ? ? ? ? .FromSql("SELECT * FROM dbo.Orders")
? ? ? ? ? ? ? ? ? ? .ToList();
? ? ? ? ? ? }
這是最簡(jiǎn)單且不帶任何條件的查詢方式,接下來(lái)我們看看有條件的查詢我們應(yīng)該如何查詢,如下:
using (var context = new EFCoreDbContext())
? ? ? ? ? ? {
? ? ? ? ? ? ? ? var parameters = new SqlParameter[]
? ? ? ? ? ? ? ? {
? ? ? ? ? ? ? ? ? ? new SqlParameter(){ ParameterName = "@p0", Value = 1, SqlDbType = System.Data.SqlDbType.Int }
? ? ? ? ? ? ? ? };
? ? ? ? ? ? ? ? var orders = context.Orders
? ? ? ? ? ? ? ? ? ? .FromSql("SELECT * FROM dbo.Orders WHERE Id = @p0", parameters)
? ? ? ? ? ? ? ? ? ? .ToList();
? ? ? ? ? ? }
除了以上利用參數(shù)化查詢方式外,若我們還借助string.format或者C# 6.0出現(xiàn)的新特性字符串插值即美元符號(hào)$來(lái)查詢最終生成的SQL是否仍然是以參數(shù)化查詢呢,我們來(lái)看看。
using (var context = new EFCoreDbContext())
? ? ? ? ? ? {
? ? ? ? ? ? ? ? var orders = context.Orders
? ? ? ? ? ? ? ? ? ? .FromSql($"SELECT * FROM dbo.Orders WHERE Id = {1}")
? ? ? ? ? ? ? ? ? ? .ToList();
? ? ? ? ? ? }
由上我們看出即使利用字符串插值最終仍然翻譯成參數(shù)化SQL。接下來(lái)我們?cè)賮?lái)看看字符串拼接查詢方式。
using (var context = new EFCoreDbContext())
? ? ? ? ? ? {
? ? ? ? ? ? ? ? var searchString = "Jeffcky";
? ? ? ? ? ? ? ? var blogs = context.Blogs
? ? ? ? ? ? ? ? ? ? .FromSql("SELECT Id, Name, CreatedTime, Url, ModifiedTime FROM dbo.Blogs " +
? ? ? ? ? ? ? ? ? ? "WHERE Name = '" + searchString + "'")
? ? ? ? ? ? ? ? ? ? .ToList();
? ? ? ? ? ? }
此時(shí)我們通過控制臺(tái)打印能夠看出最終生成的SQL語(yǔ)句是以字符串形式展示,在EntityFramework Core 2.0+上執(zhí)行原始查詢的APi即FromSql有重載方法,如下:
public static IQueryable<TEntity> FromSql<TEntity>([NotNullAttribute] this IQueryable<TEntity> source, [NotNullAttribute][NotParameterized] FormattableString sql) where TEntity : class;我們利用上述FromSql重載方法傳遞字符串參數(shù),同時(shí)在查詢字符串中添加對(duì)數(shù)據(jù)庫(kù)表操作,驗(yàn)證EF Core是否能防止SQL注入。
using (var context = new EFCoreDbContext())
? ? ? ? ? ? {
? ? ? ? ? ? ? ? var searchString = "Jeffcky; DROP TABLE dbo.Blogs;";
? ? ? ? ? ? ? ? var blogs = context.Blogs
? ? ? ? ? ? ? ? ? ? .FromSql("SELECT Id, Name, Url, CreatedTime, ModifiedTime FROM dbo.Blogs "
? ? ? ? ? ? ? ? ? ? + " WHERE Name = {0}", searchString)
? ? ? ? ? ? ? ? ? ? .ToList();
? ? ? ? ? ? }
經(jīng)過驗(yàn)證您會(huì)發(fā)現(xiàn)上述我們注入上述Blogs表的SQL語(yǔ)句,最終表將不會(huì)刪除。我們看到當(dāng)未利用重載方法進(jìn)行字符串拼接,此時(shí)參數(shù)將以字符串形式展示,這種情況極易引起SQL注入問題。C# 6.0引入了字符串插值(String Interpolation),此特性能夠允許C#表達(dá)式直接嵌入到字符串文本中,為運(yùn)行時(shí)構(gòu)建字符串提供了一個(gè)很好的方法。在EF Core 2.0特性中,對(duì)FromSql和ExecuteSqlCommand方法都添加了對(duì)插入字符串的特殊支持。此新特性的支持允許以安全的方式使用C#字符串插值。即防止在運(yùn)行時(shí)動(dòng)態(tài)構(gòu)建SQL時(shí)可能發(fā)生SQL注入問題。
是不是到了這里就這樣結(jié)束了呢?顯然不是這樣,接下來(lái)咱們?cè)賮?lái)看看另外一種情況,如下:
using (var context = new EFCoreDbContext())
? ? ? ? ? ? {
? ? ? ? ? ? ? ? var author = "Jeffcky Wang";
? ? ? ? ? ? ? ? var query = $"SELECT * FROM Blogs WHERE Name = {author}";
? ? ? ? ? ? ? ? var blogs = context.Blogs.FromSql(query).ToList();
? ? ? ? ? ? }
這樣的語(yǔ)法錯(cuò)誤顯而易見,我們需要用單引號(hào)將變量包含起來(lái)才能避免語(yǔ)法錯(cuò)誤,如下:
using (var context = new EFCoreDbContext())
? ? ? ? ? ? {
? ? ? ? ? ? ? ? var author = "Jeffcky Wang";
? ? ? ? ? ? ? ? var query = $"SELECT * FROM Blogs WHERE Name = '{author}'";
? ? ? ? ? ? ? ? var blogs = context.Blogs.FromSql(query).ToList();
? ? ? ? ? ? }
上述情況下,EF Core依然將執(zhí)行明文字符串而不是作為變量查詢并未以參數(shù)化執(zhí)行。如果變量包含惡意字符串,那么EF Core將根本無(wú)法防范并保護(hù)SQL。因此,如果我們需要通過EF Core執(zhí)行原始T-SQL,則應(yīng)使用參數(shù)化SQL或利用FormatttableString,FromSql有兩個(gè)重載,其一為通過FormatttableString可格式化字符串參數(shù),其二為原始字符串且可傳遞查詢參數(shù)。所以上述錯(cuò)誤,我們可利用FormatttableString來(lái)執(zhí)行,同時(shí)在利用FromSql方法查詢過后我們?nèi)钥梢岳^續(xù)進(jìn)行查詢,比如如下關(guān)聯(lián)查詢Posts表數(shù)據(jù)。
using (var context = new EFCoreDbContext())
? ? ? ? ? ? {
? ? ? ? ? ? ? ? var searchString = "Jeffcky Wang";
? ? ? ? ? ? ? ? FormattableString sql = $@"SELECT Id, Name, Url, CreatedTime, ModifiedTime FROM dbo.Blogs WHERE Name = {searchString}";
? ? ? ? ? ? ? ? var blogs = context.Blogs
? ? ? ? ? ? ? ? ? ? .FromSql(sql)
? ? ? ? ? ? ? ? ? ? .Include(d => d.Posts)
? ? ? ? ? ? ? ? ? ? .ToList();
? ? ? ? ? ? }
通過【$@】并利用FormattableString重載或者傳遞參數(shù)化變量來(lái)防止SQL注入問題,希望您發(fā)現(xiàn)EF Core 2.0中這個(gè)新特性,同時(shí)不要忘記它也用來(lái)承擔(dān)更大的責(zé)任,由于SQL注入攻擊,不會(huì)讓我們所寫代碼存在漏洞。
總結(jié)
本節(jié)我們?cè)敿?xì)講解了EF Core 2.0中執(zhí)行原始查詢?nèi)绾畏乐筍QL注入問題,精簡(jiǎn)的內(nèi)容,簡(jiǎn)單的講解,希望能幫助到您。我們明天再會(huì)。
原文:https://www.cnblogs.com/CreateMyself/p/8481331.html
.NET社區(qū)新聞,深度好文,歡迎訪問公眾號(hào)文章匯總 http://www.csharpkit.com
總結(jié)
以上是生活随笔為你收集整理的EntityFramework Core 2.0执行原始查询如何防止SQL注入?的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: C#热度不如Java?网友呛声:还有使用
- 下一篇: EF Core下利用Mysql进行数据存