ExecuteSqlRaw只返回受影响行数,不返回实体数据;需用参数化查询防SQL注入;不支持结果集,应优先用单条SQL完成查改;需手动处理实体状态和事务。
EF Core 中 ExecuteSqlRaw 是执行原生 SQL 增删改(INSERT/UPDATE/DELETE)语句的常用方法,它**不返回实体数据,只返回受影响行数**,适合做批量操作、复杂更新或绕过 EF 映射限制的场景。
基本用法:执行无参数 SQL
直接传入 SQL 字符串,适用于固定语句、无用户输入的场景(如初始化数据):
context.Database.ExecuteSqlRaw("UPDATE Products SET Price = Price * 1.1 WHERE CategoryId = 5");⚠️ 注意:这种方式**不能防止 SQL 注入**,切勿拼接用户输入!
安全写法:使用参数化查询(推荐)
用 {0} 占位符 + 参数数组,或命名参数(EF Core 5+ 支持):
- 位置参数(兼容旧版):
context.Database.ExecuteSqlRaw("DELETE FROM Orders WHERE Status = {0} AND CreatedAt - 命名参数(更清晰,推荐):
context.Database.ExecuteSqlRaw("UPDATE Users SET IsActive = {0} WHERE Email = {1}", true, "user@example.com");
EF Core 会自动处理参数转义,彻底避免 SQL 注入。
配合 FromSqlRaw 或原始查询做“先查后改”?注意误区
ExecuteSqlRaw 本身**不支持返回结果集**。如果需要“查出一批 ID 再批量更新”,别写成两步手动循环——效率低还易出错。正确做法是:
- 尽量用一条 SQL 完成(例如子查询或 CTE):
context.Database.ExecuteSqlRaw(@"UPDATE Orders SET Processed = 1 WHERE Id IN (SELECT Id FROM Orders WHERE Status = 'Pending' AND CreatedAt - 真需分步,用
FromSqlRaw查 ID 列表再传入参数化 UPDATE(注意参数数量限制,SQL Server 最多 2100 个参数)。
事务与上下文状态管理
ExecuteSqlRaw 运行在当前 DbContext 的数据库连接上,但不会自动触发 EF 的变更跟踪或影响已加载实体的状态。例如:
- 你用
ExecuteSqlRaw更新了数据库中某条记录,但之前已从 EF 加载到内存的对应实体对象,其属性值不会自动刷新; - 若后续调用
SaveChanges(),EF 仍按它自己跟踪的旧值提交——可能覆盖你的原生更新; - 解决办法:
✓ 手动重载实体:context.Entry(entity).Reload();
✓ 或确保原生 SQL 操作前后不混用同一上下文的跟踪实体;
✓ 关键业务建议显式包裹事务:using var transaction = context.Database.BeginTransaction(); ... ExecuteSqlRaw ... SaveChanges ... Commit();
基本上就这些。用对参数化、管住上下文状态、优先单条 SQL 解决问题,ExecuteSqlRaw 就很稳。
