在C#中使用EF Core执行原始SQL查询可通过FromSqlRaw、FromSqlInterpolated和ExecuteSqlRaw等方法实现,适用于复杂查询与性能优化。1. FromSqlRaw用于静态SQL查询,需手动处理参数;FromSqlInterpolated支持内插字符串并自动参数化,更安全。2. 执行非查询操作如UPDATE、DELETE应使用ExecuteSqlRaw或更推荐的ExecuteSqlInterpolated以防止注入风险。3. 安全性方面,禁止拼接用户输入到SQL字符串,必须使用参数化方式避免SQL注入。4. 原始SQL查询需返回实体对应列或主键,不支持直接投影到非实体类型,且结果默认可能不被上下文跟踪。正确使用参数化方法可确保操作安全可靠。
在C#中使用EF Core执行原始SQL查询是可行的,主要通过 FromSqlRaw、ExecuteSqlRaw 等方法实现。这类操作适用于复杂查询或性能优化场景,但需注意安全性。
1. 执行查询:FromSqlRaw 和 FromSqlInterpolated
当你需要从数据库中读取数据,并映射到实体类型时,可以使用 FromSqlRaw 或 FromSqlInterpolated:FromSqlRaw:直接传入原始SQL字符串,适合静态SQL:
var blogs = context.Blogs
.FromSqlRaw("SELECT * FROM Blogs WHERE Name LIKE '%{0}%'", searchTerm)
.ToList();
FromSqlInterpolated:支持内插字符串,参数会自动参数化,更安全:
var blogs = context.Blogs
.FromSqlInterpolated($"SELECT * FROM Blogs WHERE Name LIKE '%' + {searchTerm} + '%'")
.ToList();
注意:SQL查询必须返回与实体对应的列,否则映射可能失败。
2. 执行非查询语句:ExecuteSqlRaw
用于执行 INSERT、UPDATE、DELETE 等操作:context.Database.ExecuteSqlRaw(
"UPDATE Blogs SET Name = {0} WHERE Id = {1}", newName, blogId);
同样推荐使用 ExecuteSqlInterpolated 来避免拼接字符串:
context.Database.ExecuteSqlInterpolated(
$"UPDATE Blogs SET Name = {newName} WHERE Id = {blogId}");
3. 安全性问题与防范措施
直接拼接SQL字符串(如使用字符串格式化)容易导致 SQL注入 攻击。例如以下写法非常危险:// 危险!不要这样做
var sql = $"SELECT * FROM Blogs WHERE Name = '{searchTerm}'";
context.Blogs.FromSqlRaw(sql);
正确做法是:
- 使用 FromSqlInterpolated 或 ExecuteSqlInterpolated,它们会自动将变量作为参数传递,防止注入。
- 若用 FromSqlRaw,确保所有用户输入都通过参数占位符传入,而不是字符串拼接。
- 避免将用户输入直接拼进SQL语句。
4. 使用原生SQL查询的限制
需要注意几点:- 查询必须返回实体定义中的所有属性,或至少包含主键。
- 不能用于投影到非实体类型(除非使用 SqlQuery 或原生 ADO.NET)。
- 上下文不会自动跟踪原始SQL查询的结果,除非你使用的是 DbSet 查询且启用了变更追踪。
基本上就这些。只要避免字符串拼接、使用参数化方式,EF Core 的原始SQL查询是相对安全的。关键是别图省事直接拼SQL。
