EF自带防SQL注入 FromSqlInterpolated方法——无法查询BUG
项目场景:
项目场景:项目使用.net core EF做SQL查询,为了懒省事儿,使用EF自带防止SQL注入方法:FromSqlInterpolated 。
问题描述:
发现屏蔽了like %查询使得无法查询出数据!
防SQL注入错误代码:
@Override public void run() { string name='张三'; FormattableString fstr=$@"select * from staff where IsEnabled=1 and StaffName like Concat('%','{name}','%')"; db.FromSqlInterpolated (fstr); }
原因分析:
EF自带的过滤后查询不到“张三”,多次测试SQL语句,过滤将特殊字符 like ,%等 给过滤导致查询失败。
解决方案:
使用FromSqlRaw 方法,自定义Paramtter,例子如下(Mysql方式,SQLSERVER去掉My):
防SQL注入正确代码:
@Override public void run() { string name='张三'; MySqlParameter[] sqlparment=new MySqlParameter[]{ new MySqlParameter("@TestName",name)}; FormattableString fstr=$@"select * from staff where IsEnabled=1 and StaffName like @TestName "; db.FromSqlRaw(fstr,sqlparment); }
————————————————
版权声明:本文为CSDN博主「object-null」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/A_158/article/details/111919787