17370845950

EF Core执行原生SQL最安全方式是FromSqlRaw（查数据映射实体）和ExecuteSqlRaw（增删改无返回），必须参数化防注入，禁用字符串拼接，动态条件优先用LINQ，表名列名等SQL片段不可插值。

EF Core 中执行原生 SQL 语句，最常用、最安全的方式是使用 FromSqlRaw（配合实体映射）或 ExecuteSqlRaw（用于增删改等无返回结果的操作）。关键不是“能不能写 SQL”，而是“怎么写得安全、可维护、不被注入”。

FromSqlRaw：查询数据并映射到实体

适用于需要从数据库查出数据，并映射为已定义的实体类型（如 Blog、Post）的场景。注意：该方法只支持查询，且实体类型必须与 SQL 返回的列名、类型严格匹配（大小写敏感，建议用 PascalCase 列别名）。

示例：查询所有活跃博客

var blogs = context.Blogs
    .FromSqlRaw("SELECT * FROM Blogs WHERE IsActive = {0}", true)
    .ToList();

• 参数用 {0} 占位，EF Core 自动处理参数化，防止 SQL 注入
• 不能用字符串拼接（如 "WHERE IsActive = " + isActive），否则有注入风险
• SQL 必须返回与 Blogs 实体对应的全部或子集字段；若字段不全，未映射属性为默认值（null 或 0）
• 不支持复杂 JOIN 后映射到多个实体，如需多表结果，建议用 FromSqlRaw + 自定义 DTO 类（需配合 AsEnumerable() 或 AsNoTracking() 后手动构造）

ExecuteSqlRaw：执行 INSERT/UPDATE/DELETE 等无返回操作

当你不需要返回实体，只执行修改类 SQL（比如批量更新、清理数据、调用存储过程），用这个更合适。

var rowsAffected = context.Database
    .ExecuteSqlRaw("UPDATE Posts SET IsPublished = {0} WHERE BlogId = {1}", true, 5);

• 返回影响行数（int），可用于判断是否成功执行
• 同样支持参数化，禁止字符串拼接
• 不会触发 EF 的变更跟踪，也不会更新本地 DbSet 缓存 —— 执行完记得手动 Reload 或重新查询

安全要点：永远参数化，绝不拼接

错误示范（危险！）：

// ❌ 绝对不要这样写
string title = Request.Query["title"];
var posts = context.Posts.FromSqlRaw($"SELECT * FROM Posts WHERE Title LIKE '%{title}%'");

正确做法（参数化 + 通配符由代码控制）：

// ✅ 安全写法
string title = Request.Query["title"];
var posts = context.Posts
    .FromSqlRaw("SELECT * FROM Posts WHERE Title LIKE {0}", $"%{title}%")
    .ToList();

• 占位符只放参数值，不放 SQL 片段（如不能传 "AND Status = 1" 这种条件片段）
• 动态 WHERE 条件多时，优先用 LINQ 构建表达式树；实在要用原生 SQL，可借助 StringBuilder 拼接完整 SQL，但所有用户输入仍必须走 {0} 参数绑定

补充：FromSqlInterpolated（更简洁的插值写法）

EF Core 5+ 支持字符串插值语法，底层自动转为参数化，写起来更自然：

string keyword = "EF";
var blogs = context.Blogs
    .FromSqlInterpolated($"SELECT * FROM Blogs WHERE Name LIKE { $"%{keyword}%" }")
    .ToList();

• 变量用 {variable} 包裹，EF Core 自动识别并参数化
• 仍不支持插值 SQL 关键字或表名/列名 —— 这些必须硬编码或通过白名单校验后拼接
• 和 FromSqlRaw 行为一致，只是语法糖

基本上就这些。核心就一条：用好参数占位，别碰字符串拼接。原生 SQL 是利器，但交到 EF Core 手里，就得按它的规则来。