ef core Context.Database.ExecutesQLRaw（sql，param1，param2)引发SqlException

提问者：小点点

ef core Context.Database.ExecutesQLRaw（sql，param1，param2)引发SqlException

我使用的ef核心版本是:3.0，我写的代码不知何故如下:

SqlParameter table = new SqlParameter("@tableName", tableName);
SqlParameter entryId = new SqlParameter("@entryId", id);
string sql = "delete from @tableName where id = @entryId";
context.Database.ExecuteSqlRaw(sql, table , entryId);

我的sql语句有两个参数，我已经定义并传递了这两个参数，但每次执行它时，我只是得到了下面的异常，请帮忙看一看。谢谢

Microsoft.Data.SqlClient.SQLException(0x80131904):必须声明表变量“@TableName”。在Microsoft.Data.SqlClient.SqlConnection.OnError（SqlException exception，Boolean breakConnection，Action1wrapCloseInAction）在Microsoft.Data.SqlClient.TdSparser.ThrowExceptionandWarning（TdsParserStateObject stateObj，Boolean callerHasConnectionLock，Boolean asyncClose）在Microsoft.Data.SqlClient.TdSparser.TryRun（RunBehavior RunBehavior，SqlCommand cmdHandlerolean isAsync，Int32超时，任务(&；Microsoft.Data.SqlClient.SqlCommand.RunExecuteReader（CommandBehavior cmdBehavior，RunBehavior RunBehavior，Boolean returnStream，TaskCompletionSource1完成，Int32超时，task&；任务，布尔值(&S；Microsoft.Data.SqlClient.SqlCommand.InternalExecuteNonQuery中的usedCache，Boolean asyncWrite，Boolean inRetry，String方法）(TaskCompletionSource1完成，Boolean sendToPipe，Int32超时，Boolean&；Microsoft.Data.SqlClient.SqlCommand.ExecutenOnQuery（）中的usedCache，Boolean asyncWrite，Boolean inRetry，String methodName）。Microsoft.EntityFrameworkCore.Storage.RelationalCommand.ExecutenOnQuery（RelationalCommandParameterObject参数对象）。Microsoft.EntityFrameworkCore.RelationalDatabaseFacadeExtensions.ExecutesQLRaw（DatabaseFacade DatabaseFacade，String sql，Object[]参数）




             共1个答案


                        

                
                    匿名用户

                




                
					
不能参数化表名和列名。在C#术语中，这就像是将类名放在一个字符串中并尝试实例化它:
string className = "Person";
className p = new className; //it doesn't work
您的代码必须更像:
SqlParameter entryId = new SqlParameter("@entryId", id);
string sql = "delete from "+tableName+" where id = @entryId";
context.Database.ExecuteSqlRaw(sql, entryId);
不要授予最终用户更改tableName变量内容的能力
Lutti Coelho提供的额外信息:
为了避免查询中的SQL注入，最好使用ExecutesQlInterpotalated方法。这种方法允许使用字符串插值语法，以防止SQL注入攻击。
context.Database.ExecuteSqlInterpolated("delete from {tableName} where id = {id}");
始终对原始SQL查询使用参数化
在将任何用户提供的值引入原始SQL查询时，必须注意避免SQL注入攻击。除了验证这些值不包含无效字符之外，始终使用参数化，它将值与SQL文本分开发送。
特别是，千万不要将带有未经验证的用户提供的值的串联或插值字符串($“”）传递给FromSqlRaw或ExecutesSQLRAW。FromSqlInterpolated和ExecuteSqlInterpolated方法允许使用字符串插值语法，以防止SQL注入攻击。
您可以在以下链接中查看有关原始SQL查询的更多信息:https://docs.microsoft.com/en-us/ef/core/querying/raw-sql


		      
                相关问题
                

																                
					
										   Android：在模块jefied-play-services-测量和jefied-play-services-测量-impl中发现重复类
										   @BeforeClass在ktor测试类中不工作
										   Jest vanilla JavaScript JSDOM刷新失败，切换beforeAll到before每一个后的第二次测试中断
										   在笑话中，定义全局变量是否与在BeforeAll中定义相同？
										   静态编程语言中@BeforeAll的正确解决方法是什么
										   线程“main”java. lang.NoClassDefFoundError中的异常：在Intellij[Spring boot]中
										   线程“main”java. lang.NoClassDefFoundError中的异常：org/apache/log4j/ProvisionNode
										   log4j2 java. lang.NoClassDefFoundError：org/apache/log/log4j/LogManager
										   mvn测试vs mvn surefire：测试
										   线程“main”java. lang.NoClassDefFoundError中的异常：org/apache/Commons/csv/CSVFormat
										   运行为Groovy脚本时的NoClassDefFoundError… org/apache/Commons/cli/Command dLineParser
										   ORA-01476：SQL查询的除数等于零（Oracle 10g）
										   beforeAll和写在代码顶部有什么区别？
										   线程“main”java. lang.NoClassDefFoundError中的异常：org/apache/log4j/LogManager[重复]
										   在单个方法中实现Before每一个
										   如何修复错误java. lang.ClassNotFoundException：com.mysql.jdbc.Driver[重复]
										   PoolingHttpClientConnectionManager setMaxTotal或setDefaultMaxPerRoute似乎不起作用
										   为什么我使用HttpClient. createDefault（）作为HttpClient单例实例执行第三个请求总是挂起
										   SQL索引中的范围锁导致的服务器死锁
										   IWebElement在使用PageFactory初始化时没有属性

ef core Context.Database.ExecutesQLRaw（sql，param1，param2)引发SqlException

共1个答案

相关问题

热门标签

微信关注