EF Core 中避免 SQL 注入的三种写法

于 2024-10-15 16:27:32 发布
阅读量503 收藏 1
点赞数 3
文章标签: c# .netcore
本文为博主学习实践所写,如有谬误之处欢迎指正。
本文链接:https://blog.csdn.net/github_37151951/article/details/142957835
版权

SQL 注入攻击可能会对我们的应用程序产生严重影响,导致敏感数据泄露、未经授权的访问和应用程序受损。EF Core 提供了三种内置机制来防止 SQL 注入攻击。

1、利用 LINQ 查询语法和参数化查询,这是比较推荐的做法。

await using var context = new PostgresContext();  
var author = "江";  
var blog = await context.Blogs.Where(s=>s.Author == author + "山").FirstOrDefaultAsync();

生成的查询脚本如下:

SELECT b.author, b.blogid, b.url
FROM blog AS b
WHERE b.author = @__p_0
LIMIT 1

2、使用 FromSql

对于一些复杂的查询,需要直接使用 SQL 查询脚本的,如果是 EF Core 7.0 以上版本可以使用 FromSql。

await using var context = new PostgresContext();  
var author = "江山";
var blog = await context.Blogs.FromSql($"SELECT * FROM blog WHERE author = '{author}'").FirstOrDefaultAsync();

生成的查询脚本如下:

SELECT e.author, e.blogid, e.url
FROM (
    SELECT * FROM blog WHERE author = '@p0'
) AS e
LIMIT 1

它会自动识别字符串中的 {author} 这样的字符,用参数替换掉。

3、使用 FromSqlRaw

FromSqlRaw 也可以执行 SQL,但是需要特别注意。

先看下面的代码:

await using var context = new PostgresContext();  
var author = "江山";    
var blog = await context.Blogs.FromSqlRaw("SELECT * FROM blog WHERE author = '{0}'",author).FirstOrDefaultAsync();

生成的查询脚本如下:

SELECT e.author, e.blogid, e.url
FROM (
    SELECT * FROM blog WHERE author = '@p0'
) AS e
LIMIT 1

上面的结果是安全的。现在,把脚本改成"+"号拼接:

var blog = await context.Blogs.FromSqlRaw("SELECT * FROM blog WHERE author = '"+author+"'").FirstOrDefaultAsync();

生成的脚本如下:

SELECT e.author, e.blogid, e.url
FROM (
    SELECT * FROM blog WHERE author = '江山'
) AS e
LIMIT 1

这样就不安全了。

这就是 EF Core 中避免 SQL 注入的三种方式,希望对你有帮助。

老派Sql之必要,逆天,我在ef core中使用ado.net!
jine1987的专栏
08-05 405
老派SQL之必要,逆天,我在ef core中使用ado.net!
通过EFCore执行SQL语句调用触发器操作
qq_39280087的博客
12-23 1975
前置阅读文章 《EFCore使用ADO.NET连接GBase8s数据库示例》 《C#连接GBase8s数据库在windows环境下使用步骤》 创建解决方案Demo工程,并引入相应的EFCore包 我们首先创建名字为t7的数据库,并创建使用到的数据表和触发器。 创建两张数据表t1和t2,t1是业务数据表,t2是通过触发器实现的日志数据表。 CREATE TABLE t7:t1 ( name VARCHAR(100), id VARCHAR(100), age VARCHAR(100) ) in rootdb
EFsql注入
bangzhaigui5960的博客
12-19 986
EF作为一个orm框架,本身以及放置了sql注入,但是如果我们需要执行sql语句的时候了?比如,我们需要查询视图"select * from VM where 条件 = {0}",此时,sql是可以注入的 那么,我们该如何注入呢?在论坛找到一个方法,收藏下,哈哈 function bool SS(string no) { try{ string sql = "sele...
sql注入pythonpoco_.NET EF(Entity Framework)详解
weixin_36371504的博客
02-11 324
一丶Entity Framework(一)EF简介(1)ORM:Object Relation Mapping ,通俗说:用操作对象的方式来操作数据库。(2)插入数据库不再是执行Insert,而是类似于Person p = new Person();p.Age=3;p.Name=“英莱特”;db.Save§;这样的做法。(3)ORM工具有很多Dapper、PetaPoco、NHibernate,最...
Web安全-Sql注入
lanyef的专栏
10-17 1061
0x01 简介 Sql注入的大名在今天IT界可谓如雷贯耳,距离1998年第一次为公众所知以来已经过去20年,但是依然有一些网站、系统存在这样的问题,看看近期的数据泄露就知道了。 作为注入(Injection)的一种,常年占据Owasp Top 10 榜首。 1.1 原理 漏洞本身的原理其实很简单: 用户可控制输入 sql语句拼接用户输入进行执行 // sql语句 Sel...
同事都说有SQL注入风险,我非说没有
zyq025的专栏
03-15 7617
细节很重要~~~
SQL注入
miss1457的博客
05-17 329
SQL注入url注入新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 url注入 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了
C# .NET项目,SQL注入攻击的注意点
qq_21209307的博客
03-16 296
SQL注入攻击,项目中,读取、更新数据库时,请注意: 除非特殊情况,如外键或主键限制、性能问题,请使用EF提供的Get、Save、Delete等方法 特殊情况,必须直接执行SQL语句的情况下,务必使用MySqlParameter进行参数传递,不能使用拼接SQL语句的方式进行参数传递,如下: ...
ASP.NET Entity Framework(EF)中基本增删改查的各种写法和详细说明
12-14
前言 在以前学习和使用WinForm、ASP.NET WebForm、三层架构的时候,对于数据访问的实现,无论是什么逻辑,简单还是复杂,无论是执行...我一共学习和使用了三种模式的EF(DBFirst[数据库优先]、ModelFirst[模型优先]、Co
C#使用LINQ和EF Core
qq_42497776的博客
03-17 1863
用 LINQ 查询 EF Core 和 LINQ to XML 进行数据操作
Ef Core花里胡哨系列(7) 使用Ef Core也能维护表架构?
PowerDon的博客
01-03 506
我们这里指的并不是查询,而是利用Ef的迁移原理,生成可用的其它表架构操作的Sql。例如你想在Ef Core里建表,并且可能程序里有多个provider,那么写Sql将是一件痛苦的事情,我们就是利用Ef Core迁移时的操作,来为我们所用。如果看过此系列中屏蔽外键的那一篇博客,我们的主角就暗藏在里面,它就是各种Operation。
.NET Core中使用EF Core实现事务处理(详解)
xll的博客
04-11 3047
平常项目中设计到数据库操作的时候一般情况是不会有问题的,但是当一个控制器中设计到多处具有对数据库的操作时,比如一个接口中涉及到修改信息,然后删除原本信息,分配新的权限三个操作,如果运行到一半数据库突然出现故障后,导致后面还有的操作没有进行,就会到处信息出现问题.当然EF Core提供的方法本身是支持事务的,如果多个操作,其中任何一个操作失败了,都会触发事务回滚,保证所有操作都不会生效。但在我们实际业务中,业务往往都是比较复杂的,默认事务无法满足我们的需求,这时候我们就需要手动控制事务,
ASP.NET Core6.0使用EF DB First实现依赖注入
qq_40287041的博客
10-19 678
3、选中项目——右键——EF Core工具——反向工程——添加数据库连接——选则EF Core6。1、打开VS2022——扩展——管理扩展——搜索EF Core Power Tools。2、安装EF Core Power Tools扩展(需要重启VS2022)6、会看到多了一个models文件夹和一个配置文件。7、在Program.cs中添加以下代码。4、选中相应的表或视图——确定。5、选中下面的内容——确定。8、在控制器中使用上下文。
使用EF框架把数据库导入 .Net Core 项目以及依赖注入的使用
moxi1012的博客
06-21 753
ASP.NET Core是一个现代化的Web开发框架,为了提高代码的可重用性和可测试性,它使用了依赖注入(DI,Dependency Injection)模式。依赖注入是一种设计模式,它允许开发者以松耦合的方式构建对象之间的依赖关系。ASP.NET Core中的依赖注入系统允许开发者在应用程序的启动过程中注册各种服务,同时让开发者在应用程序的各个部分使用这些服务。为了实现这一点,ASP.NET Core提供了一个容器,在容器中注册服务并在需要的时候将这些服务注入到其他对象中。
.NET 分享两个SQL注入御加固解决方案
ahhacker86的专栏
01-18 1225
SQL 注入绕过技术是一个老生常谈的话题,很多网站都接入了 WAF 等安全产品以此增强拦截和抵御 SQL 注入攻击的能力,另外从纵深御的策略看还有在应用内部嵌入安全护模块增强对请求输入参数进行过滤和拦截。下面提供两个注入漏洞产生的解决方案。
.Net 全局过滤,SQL注入
灵感源于学习的博客
01-17 1731
SQL 注入、漏洞修复
EFCore中执行非查询SQL脚本
最新发布
bazinga_y的博客
08-12 497
EFCore中执行非查询SQL脚本
Entity Framework关于SQL注入安全问题
weixin_34270606的博客
12-14 358
1、EF生成的sql语句,用 parameter 进行传值,所以不会有sql注入问题 2、EF下有涉及外部输入参数传值的,禁止使用EF直接执行sql命令方式,使用实体 SQL   参考: https://msdn.microsoft.com/zh-cn/library/cc716760(v=vs.110).aspx   SQL 注入式攻击。 应用程序经常接受外部输入(...
sql语句是SELECT sum(MinInventory) FROM `test_oolislis` where ProductCode=1;,用efi写法
03-13
抱歉,我可以回答这个问题。EF Core 中的写法如下: var result = dbContext.Test_OolisLis .Where(x => x.ProductCode == 1) .Sum(x => x.MinInventory);
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SiliconMeow

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值