EF自带防SQL注入 FromSqlInterpolated方法——无法查询BUG

项目场景:

项目场景:项目使用.net core EF做SQL查询,为了懒省事儿,使用EF自带防止SQL注入方法:FromSqlInterpolated 。

问题描述:

发现屏蔽了like %查询使得无法查询出数据!

防SQL注入错误代码:

@Override
        public void run() {
     
           string name='张三'; 
           FormattableString fstr=$@"select * from staff where IsEnabled=1 and StaffName like Concat('%','{name}','%')";
           db.FromSqlInterpolated (fstr);
        }

原因分析:

EF自带的过滤后查询不到“张三”,多次测试SQL语句,过滤将特殊字符 like ,%等 给过滤导致查询失败。


解决方案:

使用FromSqlRaw 方法,自定义Paramtter,例子如下(Mysql方式,SQLSERVER去掉My):

防SQL注入正确代码:

@Override
        public void run() {
     
           string name='张三'; 
           MySqlParameter[] sqlparment=new MySqlParameter[]{
      new  MySqlParameter("@TestName",name)};
           FormattableString fstr=$@"select * from staff where IsEnabled=1 and StaffName like @TestName ";
           db.FromSqlRaw(fstr,sqlparment);
        }

你可能感兴趣的:(sql)