使用SqlCommand可执行动态SQL,但需防范SQL注入。应优先对值使用参数化查询,对表名等结构部分采用白名单校验并包裹标识符,结合最小权限原则保障安全。
在C#中执行动态SQL查询通常通过 ADO.NET 实现,比如使用 SqlConnection、SqlCommand 和字符串拼接或参数化方式构建SQL语句。虽然动态SQL提供了灵活性,但也带来了安全风险,特别是SQL注入攻击。
如何执行动态SQL查询
以下是一个使用 SqlCommand 执行动态SQL的基本示例:
using (var connection = new SqlConnection(connectionString))
{
connection.Open();
string tableName = "Users";
string condition = "Age > 30";
// 动态构建SQL
string sql = $"SELECT * FROM {tableName} WHERE {condition}";
using (var command = new SqlCommand(sql, connection))
{
using (var reader = command.ExecuteReader())
{
while (reader.Read())
{
// 处理结果
}
}
}
}上面的例子中,SQL语句是拼接生成的,适用于表名、列名等无法通过参数传递的场景。
必须注意的安全问题:SQL注入
直接拼接用户输入到SQL语句中非常危险。攻击者可能通过构造恶意输入篡改SQL逻辑,例如:
- 输入条件为:
1=1; DROP TABLE Users; --,可能导致删除表。 - 绕过登录验证:
' OR '1'='1可能使身份检查失效。
参数化查询能有效防止这类攻击,但仅适用于 值(values),不能用于表名、列名、关键字(如 ORDER BY、WHERE)等SQL结构部分。
安全实践建议
- 优先使用参数化查询:对于 WHERE 条件中的值,始终使用 SqlParameter。
string sql = "SELECT * FROM Users WHERE Age > @age";
command.Parameters.AddWithValue("@age", userAge);if (!new[] { "Users", "Orders", "Products" }.Contains(tableName))
throw new ArgumentException("Invalid table name");string sql = $"SELECT * FROM [{tableName}]";总结
动态SQL在C#中可通过字符串拼接实现,但必须警惕SQL注入风险。对数据值使用参数化查询,对结构部分(如表名)实施严格校验和白名单控制。安全编码习惯和权限管理是保障系统稳定的关键。
基本上就这些,核心是:能参数化就参数化,不能的就严加过滤。
