正确使用Dapper的匿名对象或DynamicParameters进行参数化查询可有效防止SQL注入。1. 推荐使用匿名对象传参,如new { Name = "张三", Age = 18 },Dapper自动绑定属性名与SQL占位符,确保用户输入被视为数据而非代码;2. 复杂场景可用DynamicParameters添加输出参数或调用存储过程,仍保持参数化安全机制;3. 关键是杜绝SQL字符串拼接,禁用$""或string.Format插入用户输入,表名列名需通过白名单校验;4. 错误做法如直接拼接'{userName}'会引发注入风险,正确方式始终使用@参数占位符并配合Dapper参数机制,从而彻底避免SQL注入。
在C#中使用Dapper时,动态参数是通过 匿名对象 或 IDynamicParameters 接口实现的。正确使用这些参数不仅能简化代码,还能有效防止SQL注入攻击。
使用匿名对象传参(推荐)
Dapper支持直接将匿名对象作为参数传递,内部会自动解析属性名并绑定到SQL语句中的参数占位符。
- SQL中的参数名需与匿名对象的属性名一致
- Dapper会自动处理参数化查询,避免字符串拼接
- 数据库不会将用户输入当作SQL执行,从而防止注入
示例:
var sql = "SELECT * FROM Users WHERE Name = @Name AND Age > @Age";
var users = connection.Query(sql, new { Name = "张三", Age = 18 });
使用 DynamicParameters 扩展复杂场景
当需要添加输出参数、返回值或自定义类型时,可使用 DynamicParameters 类。
它允许你显式添加参数,并设置方向、类型等属性。
示例:
var parameters = new DynamicParameters();
parameters.Add("@Email", "user@example.com");
parameters.Add("@Count", dbType: DbType.Int32, direction: ParameterDirection.Output);
connection.Execute("GetUserCountByEmail", parameters, commandType: CommandType.StoredProcedure);
int count = parameters.Get("@Count");
这种方式依然使用参数化查询,不受用户输入内容影响。
如何确保防止SQL注入?
关键在于永远不要拼接用户输入到SQL字符串中。只要使用参数化查询,无论输入多恶意,都会被当作数据而非代码处理。
- 避免 string.Format 或 $"" 拼接SQL
- 不要把用户输入直接放入SQL字符串
- 表名、列名也不能用参数替换(参数只能用于值),这类场景需白名单校验或使用ORM辅助
错误示例(危险!):
// 千万别这么写
string sql = $"SELECT * FROM Users WHERE Name = '{userName}'";
正确做法始终是:
string sql = "SELECT * FROM Users WHERE Name = @Name";
var user = connection.Query(sql, new { Name = userName });
基本上就这些。只要坚持用Dapper的参数机制传值,不拼SQL,就能有效规避绝大多数SQL注入风险。
