Dapper防sql注入,同一条SQL支持多种数据库

前言

防SQL注入,常用的方案是使用Dapper执行SQL的参数化查询。例如:

using (IDbConnection conn = CreateConnection())
{string sqlCommandText = @"SELECT * FROM USERS WHERE ID=@ID";Users user = conn.Query<Users>(sqlCommandText, new { ID = 2 }).FirstOrDefault();Console.WriteLine(user.Name);
}

但是,不同数据库支持不同的sql参数格式,例如,ORACLE必须使用:ID,否则上述代码会报错:

225fd15571562f95c82d4f94ca980c6d.png

Pseudo-Positional Parameters

查看Dapper的源代码[1],发现有这样一段:

cmd.CommandText = pseudoPositional.Replace(cmd.CommandText, match =>
{string key = match.Groups[1].Value;if (!consumed.Add(key)){throw new InvalidOperationException("When passing parameters by position, each parameter can only be referenced once");}else if (parameters.TryGetValue(key, out IDbDataParameter param)){if (firstMatch){firstMatch = false;cmd.Parameters.Clear(); // only clear if we are pretty positive that we've found this pattern successfully}// if found, return the anonymous token "?"if (Settings.UseIncrementalPseudoPositionalParameterNames){param.ParameterName = (++index).ToString();}cmd.Parameters.Add(param);parameters.Remove(key);consumed.Add(key);return "?";}else{// otherwise, leave alone for simple debuggingreturn match.Value;}
});

通过查看Dapper教程[2],原来,这是实现被称为Pseudo-Positional Parameters(伪位置参数)的代码,作用是为了不支持命名参数的数据库提供者能够使用参数化SQL,例如OleDB:

//代码
var docs = conn.Query<Document>(@"select * from Documentswhere Region = ?region?and OwnerId in ?users?", new { region, users }).AsList();//SQL
select * from Documentswhere Region = ?and OwnerId in (?,?,?)

自定义Pseudo-Positional Parameters

依葫芦画瓢,我们可以实现自己的Pseudo-Positional Parameters,以便支持更多的数据提供者:

private static readonly Regex pseudoRegex = new Regex(@"\$([\p{L}_][\p{L}\p{N}_]*)\$", RegexOptions.IgnoreCase | RegexOptions.CultureInvariant | RegexOptions.Compiled);public static string ReplacePseudoParameter(IDbConnection conn, string cmdText)
{return pseudoRegex.Replace(cmdText, match => {var key = match.Groups[1].Value;if (conn is OleDbConnection){return "?" + key + "?";}return (conn is OracleConnection ? ":" : "@") + key;});
}

使用方式是在参数名称两边加上$:

string sqlCommandText = @"SELECT * FROM USERS WHERE ID=$ID$";Users user = conn.Query<Users>(ReplacePseudoParameter(conn, sqlCommandText), new { ID = 2 }).FirstOrDefault();

结论

通过实现Pseudo-Positional Parameters功能,我们让Dapper防sql注入支持了多种数据库。

如果你觉得这篇文章对你有所启发,请关注我的个人公众号”My IO“

参考资料

[1]

源代码: https://github.com/DapperLib/Dapper/blob/main/Dapper/SqlMapper.cs#L1783

[2]

Dapper教程: https://riptutorial.com/Dapper/example/13835/pseudo-positional-parameters--for-providers-that-don-t-support-named-parameters-

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/297079.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

java怎么打印进制,java编程思维_007打印二进制,八进制,十六进制

java怎么打印进制,java编程思维_007打印二进制,八进制,十六进制

java编程思想_007打印二进制,八进制,十六进制package wzs.test2;//打印二进制,八进制,十六进制public class Test{public static void main(String[] args){System.out.println("0-20二进制.");for (int i 0; i < 20; i){System.out.print(i ":" Int…
阅读更多...
基于css3的鼠标滑动按钮动画之CSS--续

基于css3的鼠标滑动按钮动画之CSS--续

2019独角兽企业重金招聘Python工程师标准>>> btn2 /*--按钮1--*/ .container1 {width:200px;display:block;margin:20px auto;position:relative;font-family:droid arabic kufi; } .con_down1 {display:block;cursor:pointer;background-color:#F6EB96;width:190px…
阅读更多...
rabbitmq入门_Rabbit MQ 入门

rabbitmq入门_Rabbit MQ 入门

Rabbit MQ是一个通用的消息中间件&#xff0c;支持AMQP&#xff0c;STOMP&#xff0c;MQTT等多种协议安装#在OSX下可以使用如下命令来安装 rabbitmqbrew install rabbitmq基本命令#ls -al ~/rabbitmq/3.7.14/sbin/total 1104drwxr-xr-x 10 jet admin 320 May 19 14:35 .d…
阅读更多...
HDOJ1860 ( 统计字符 ) 【水题】

HDOJ1860 ( 统计字符 ) 【水题】

Problem : 1860 ( 统计字符 ) Judge Status : AcceptedRunId : 5940488 Language : C Author : qq1203456195Code Render Status : Rendered By HDOJ C Code Render Version 0.01 Beta 1 #include <stdio.h>2 #include <string.h>3 char f[6],c[81];4 in…
阅读更多...
94年出生,她们如今都是985高校博士生导师!

94年出生,她们如今都是985高校博士生导师!

全世界只有3.14 % 的人关注了爆炸吧知识鱼羊 萧萧 发自 凹非寺量子位 报道 | 公众号 QbitAI94年出生、博士研究方向与材料相关、目前都成了985重点高校的博士生导师。拥有相同经历的两个女生&#xff0c;概率有多大&#xff1f;就在今年&#xff0c;26岁的夏娟和李晟曼&#xf…
阅读更多...
IBM沃森为存储系统开发人员带来的启发

IBM沃森为存储系统开发人员带来的启发

前一段时间&#xff0c;IBM 沃森参加了CBS的益智节目《危险边缘》(Jeopardy)&#xff0c;这是他在全国观众面前首次亮相。确切地说&#xff0c;站在中央舞台选手答题台后面的IBM沃森实际上 是不断闪烁的虚拟头像。尽管如此&#xff0c;摆在沃森面前的答题按钮却是如假包换的&am…
阅读更多...
01Prism WPF 入门实战 - 项目准备

01Prism WPF 入门实战 - 项目准备

1.概要这一系列将进行PrismWPF技术的实战讲解。实战项目内容选型为Email邮件收发的客户端&#xff08;WeMail&#xff09;&#xff0c;项目结构简单方便大家理解。相关技术&#xff1a;C#、WPF、Prism软件开发环境&#xff1a;VS2019 、 .NET5 、 windows11需掌握技能&#xf…
阅读更多...
php上传文件程序,php 文件上传程序(二款简单文件上传程序)_PHP教程

php上传文件程序,php 文件上传程序(二款简单文件上传程序)_PHP教程

if(!$uploadaction):?>文件上载界面else:?>文件上载代码$uploadaction0;echo "good!";$timelimit60; /*设置超时限制时间 缺省时间为30秒 设置为0时为不限时 */set_time_limit($timelimit);if(($uploadfile !"none" )){$uploadpathaddslashes(dirn…
阅读更多...
预定义变量 - PHP手册笔记

预定义变量 - PHP手册笔记

原文:预定义变量 - PHP手册笔记预定义变量将所有的外部变量表示成内建环境变量&#xff0c;并且将错误信息表示成返回头。超全局变量是在全部作用域中始终可用的内置变量。在函数或方法中无需执行global $variable&#xff0c;就可以访问它们。 $GOBALS引用全局作用域中可用的全…
阅读更多...
redis查看key的过期时间_面试官:你在Redis中设置过带过期时间的Key吗?

redis查看key的过期时间_面试官:你在Redis中设置过带过期时间的Key吗?

点击上方小伟后端笔记关注公众号每天阅读Java干货文章熟悉Redis的同学应该知道&#xff0c;Redis的每个Key都可以设置一个过期时间&#xff0c;当达到过期时间的时候&#xff0c;这个key就会被自动删除。在为key设置过期时间需要注意的事项1、 DEL/SET/GETSET等命令会清除过期时…
阅读更多...
Hadoop学习系列之PageRank

Hadoop学习系列之PageRank

昨晚上不想做其他的事&#xff0c;突然想起来好久都没更新博客了&#xff0c;shell也差不多学完了&#xff0c;只不过学习的时候都是只带着书出去了&#xff0c;改天总结总结。Hadoop么&#xff0c;黄宜华老师讲完了&#xff0c;自己也马马虎虎快学完了&#xff0c;也是没总结&…
阅读更多...
您的屁股发热严重,请降温后使用。

您的屁股发热严重,请降温后使用。

▲ 点击查看不是坐在办公椅上的屁股都渴望自由&#xff0c;而是——最近天越来越热&#xff0c;屁股捂在椅子上&#xff0c;既不散热也不排汗&#xff0c;比戴口罩闷出痱子还难受&#xff0c;实在是坐不住。。最尴尬的就是站起来裤子时常黏在屁股缝里&#xff0c;难不成每次还要…
阅读更多...
C# 正则表达式编写及验证方法

C# 正则表达式编写及验证方法

01—前言正则表达式应用很广泛&#xff0c;应该大多人都接触过了&#xff0c;这个语法规则既多又凌乱&#xff0c;每次用的时候都得重新看一遍语法&#xff0c;真的是让人头疼啊&#xff01;但是实际上我们并不要掌握很多的符号用法规则&#xff0c;牢记最常用的几个就能应付很…
阅读更多...
Domino Web开发规则之二:DOMINO与开发相关的管理规范

Domino Web开发规则之二:DOMINO与开发相关的管理规范

1.服务器HTTP优化设置 调整活动线程数&#xff0c;HTTP服务器可以同时处理的请求数&#xff0c;而非连接数、会话数 单CPU服务器<64 多CPU服务器<80 并发运行Web代理 确保Web代理是线程安全的情况下&#xff0c;可以启用来提高性能。 服务器文档-> Internet协议 ->…
阅读更多...
python从入门到爬虫_python爬虫从入门到放弃(一)之初识爬虫

python从入门到爬虫_python爬虫从入门到放弃(一)之初识爬虫

什么是爬虫&#xff1f;网络爬虫(又被称为网页蜘蛛&#xff0c;网络机器人&#xff0c;在FOAF社区中间&#xff0c;更经常的称为网页追逐者)&#xff0c;是一种按照一定的规则&#xff0c;自动地抓取万维网信息的程序或者脚本。另外一些不常使用的名字还有蚂蚁、自动索引、模拟…
阅读更多...
Linq-语句之Select/Distinct和Count/Sum/Min/Max/Avg

Linq-语句之Select/Distinct和Count/Sum/Min/Max/Avg

上一篇讲述了LINQ&#xff0c;顺便说了一下Where操作&#xff0c;这篇开始我们继续说LINQ to SQL语句&#xff0c;目的让大家从语句的角度了解LINQ&#xff0c;LINQ包括LINQ to Objects、LINQ to DataSets、LINQ to SQL、LINQ to Entities、LINQ to XML&#xff0c;但是相对来说…
阅读更多...
【HDU】2795 Billboard

【HDU】2795 Billboard

1 #include<cstdio>2 #define MAXN 2000103 #define MIN(a,b) ((a)>(b)?(b):(a))4 #define MAX(a,b) ((a)>(b)?(a):(b))5 int w,tree[MAXN<<2];6 inline void PushUp(int rt)7 {8 tree[rt]MAX(tree[rt<<1],tree[rt<<1|1]);9 } 10 void Bui…
阅读更多...
老师一定没有教!9个数学速算技巧!看到第1个就跪了!

老师一定没有教!9个数学速算技巧!看到第1个就跪了!

全世界只有3.14 % 的人关注了寄语 与世界上的其他学科一样&#xff0c;数学也有自己的奇妙之处。由于各种各样的原因&#xff0c;老师没有将这些秘密告诉我们。下面就是一些有趣的数学技巧&#xff0c;看完后你也许会爱上这门学科。▼不管是几个1的平方&#xff0c;都是有规律…
阅读更多...
Java类的继承总结

Java类的继承总结

本文主要是讲述Java类的继承&#xff0c;更多Java技术知识&#xff0c;请登陆疯狂软件教育官网。加疯狂软件官方微信号&#xff1a;fkitorg,免费赢大奖&#xff0c;有机会赢得iOS培训课程一套。  在生活中我们往往把许多东西归为一个整体&#xff0c;如球有篮球&#xff0c;足…
阅读更多...
《程序员》杂志2011年第5期.pdf 下载链接 首发。

《程序员》杂志2011年第5期.pdf 下载链接 首发。

csdn《程序员》杂志2011年第5期.pdf 程序员 2011 5月刊 pdf 请下载后24H之后删除。购买原版。谢谢。 下载链接: http://ishare.iask.sina.com.cn/f/15850972.html
阅读更多...
最新文章

Copyright @ 2022~2023