导读:本期聚焦于小伙伴创作的《如何修复.NET Core中的Dapper SQL注入问题_使用匿名对象传递参数》,敬请观看详情,探索知识的价值。以下视频、文章将为您系统阐述其核心内容与价值。如果您觉得《如何修复.NET Core中的Dapper SQL注入问题_使用匿名对象传递参数》有用,将其分享出去将是对创作者最好的鼓励。

在.NET Core项目中使用Dapper进行数据库操作时,SQL注入是常见的安全风险,错误的参数拼接方式会让攻击者有机会篡改SQL逻辑,窃取或破坏数据。使用匿名对象传递参数是Dapper官方推荐的防注入方案,能从根源上避免拼接字符串带来的风险。

如何修复.NET Core中的Dapper SQL注入问题_使用匿名对象传递参数

SQL注入的产生原因

SQL注入的核心问题是把用户输入的内容直接拼接到SQL语句中,没有做参数化处理。比如下面的错误写法,用户输入的内容会直接成为SQL的一部分,攻击者可以输入特殊字符改变SQL逻辑。

错误的参数拼接示例

// 错误写法:直接拼接用户输入的参数
string userName = "admin' OR 1=1 --";
string sql = $"SELECT * FROM Users WHERE UserName = '{userName}'";
// 执行后SQL变成 SELECT * FROM Users WHERE UserName = 'admin' OR 1=1 --'
// 会查询出所有用户数据,造成数据泄露
var result = connection.Query(sql);

使用匿名对象传递参数的正确方式

Dapper支持通过匿名对象传递参数,框架会自动把参数值转换为数据库参数,避免SQL拼接,从根源上防止注入。这种方式不需要手动创建参数对象,写法简洁且安全。

基础查询参数传递

// 正确写法:使用匿名对象传递参数
string userName = "admin' OR 1=1 --";
string sql = "SELECT * FROM Users WHERE UserName = @UserName";
// 匿名对象中的属性名要和SQL中的参数占位符对应
var result = connection.Query(sql, new { UserName = userName });
// 此时参数会被正确处理,不会执行恶意SQL逻辑

多参数传递示例

如果需要传递多个参数,只需要在匿名对象中添加对应的属性即可,Dapper会自动匹配所有参数占位符。

// 多参数查询示例
string userName = "张三";
int minAge = 18;
string sql = "SELECT * FROM Users WHERE UserName = @UserName AND Age >= @MinAge";
var result = connection.Query(sql, new { 
    UserName = userName, 
    MinAge = minAge 
});

增删改操作中的参数传递

匿名对象参数不仅适用于查询操作,也适用于插入、更新、删除等写操作,同样能起到防注入的作用。

// 插入操作参数传递
string sql = "INSERT INTO Users (UserName, Age) VALUES (@UserName, @Age)";
int rows = connection.Execute(sql, new { 
    UserName = "李四", 
    Age = 20 
});

注意事项

  • SQL语句中的参数占位符要和匿名对象的属性名完全一致,区分大小写,否则会报错。
  • 不要混合使用字符串拼接和匿名对象参数,只要有一部分拼接就仍然存在注入风险。
  • 如果参数值包含特殊字符,Dapper会自动做转义处理,不需要开发者手动处理。
使用匿名对象传递参数是Dapper防注入的最优方案之一,相比手动创建SqlParameter对象,写法更简洁,也不容易出错,建议在所有Dapper操作中都采用这种方式传递参数。

DapperSQL注入.NET_Core匿名对象修改时间:2026-07-13 07:15:17

免责声明:​ 已尽一切努力确保本网站所含信息的准确性。网站内容多为原创整理与精心编撰,观点力求客观中立。本站旨在免费分享,内容仅供个人学习、研究或参考使用。若引用了第三方作品,版权归原作者所有。如内容涉及您的权益,请联系我们处理。
内容垂直聚焦
专注技术核心技术栏目,确保每篇文章深度聚焦于实用技能。从代码技巧到架构设计,为用户提供无干扰的纯技术知识沉淀,精准满足专业提升需求。
知识结构清晰
覆盖从开发到部署的全链路。AI、前端、编程、数据库、服务器、建站、系统层层递进,构建清晰学习路径,帮助用户系统化掌握开发与运维所需的核心技术。
深度技术解析
拒绝泛泛而谈,深入技术细节与实践难点。无论是数据库优化还是服务器配置,均结合真实场景与代码示例进行剖析,致力于提供可直接应用于工作的解决方案。
专业领域覆盖
精准对应开发生命周期。从前端界面到后端编程,从数据库操作到服务器运维,形成完整闭环,一站式满足全栈工程师和运维人员的技术需求。
即学即用高效
内容强调实操性,步骤清晰、代码完整。用户可根据教程直接复现和应用于自身项目,显著缩短从学习到实践的距离,快速解决开发中的具体问题。
持续更新保障
专注既定技术方向进行长期、稳定的内容输出。确保各栏目技术文章持续更新迭代,紧跟主流技术发展趋势,为用户提供经久不衰的学习价值。