在.NET Core项目中使用Dapper进行数据库操作时,SQL注入是常见的安全风险,错误的参数拼接方式会让攻击者有机会篡改SQL逻辑,窃取或破坏数据。使用匿名对象传递参数是Dapper官方推荐的防注入方案,能从根源上避免拼接字符串带来的风险。

SQL注入的产生原因
SQL注入的核心问题是把用户输入的内容直接拼接到SQL语句中,没有做参数化处理。比如下面的错误写法,用户输入的内容会直接成为SQL的一部分,攻击者可以输入特殊字符改变SQL逻辑。
错误的参数拼接示例
// 错误写法:直接拼接用户输入的参数
string userName = "admin' OR 1=1 --";
string sql = $"SELECT * FROM Users WHERE UserName = '{userName}'";
// 执行后SQL变成 SELECT * FROM Users WHERE UserName = 'admin' OR 1=1 --'
// 会查询出所有用户数据,造成数据泄露
var result = connection.Query(sql);
使用匿名对象传递参数的正确方式
Dapper支持通过匿名对象传递参数,框架会自动把参数值转换为数据库参数,避免SQL拼接,从根源上防止注入。这种方式不需要手动创建参数对象,写法简洁且安全。
基础查询参数传递
// 正确写法:使用匿名对象传递参数
string userName = "admin' OR 1=1 --";
string sql = "SELECT * FROM Users WHERE UserName = @UserName";
// 匿名对象中的属性名要和SQL中的参数占位符对应
var result = connection.Query(sql, new { UserName = userName });
// 此时参数会被正确处理,不会执行恶意SQL逻辑
多参数传递示例
如果需要传递多个参数,只需要在匿名对象中添加对应的属性即可,Dapper会自动匹配所有参数占位符。
// 多参数查询示例
string userName = "张三";
int minAge = 18;
string sql = "SELECT * FROM Users WHERE UserName = @UserName AND Age >= @MinAge";
var result = connection.Query(sql, new {
UserName = userName,
MinAge = minAge
});
增删改操作中的参数传递
匿名对象参数不仅适用于查询操作,也适用于插入、更新、删除等写操作,同样能起到防注入的作用。
// 插入操作参数传递
string sql = "INSERT INTO Users (UserName, Age) VALUES (@UserName, @Age)";
int rows = connection.Execute(sql, new {
UserName = "李四",
Age = 20
});
注意事项
- SQL语句中的参数占位符要和匿名对象的属性名完全一致,区分大小写,否则会报错。
- 不要混合使用字符串拼接和匿名对象参数,只要有一部分拼接就仍然存在注入风险。
- 如果参数值包含特殊字符,Dapper会自动做转义处理,不需要开发者手动处理。
使用匿名对象传递参数是Dapper防注入的最优方案之一,相比手动创建SqlParameter对象,写法更简洁,也不容易出错,建议在所有Dapper操作中都采用这种方式传递参数。