在C#中使用Dapper时,动态参数是通过 匿名对象 或 IDynamicParameters 接口实现的。正确使用这些参数不仅能简化代码,还能有效防止SQL注入攻击。
使用匿名对象传参(推荐)
Dapper支持直接将匿名对象作为参数传递,内部会自动解析属性名并绑定到SQL语句中的参数占位符。
SQL中的参数名需与匿名对象的属性名一致 Dapper会自动处理参数化查询,避免字符串拼接 数据库不会将用户输入当作SQL执行,从而防止注入示例:
var sql = "SELECT * FROM Users WHERE Name = @Name AND Age > @Age";
var users = connection.Query(sql, new { Name = "张三", Age = 18 });
使用 DynamicParameters 扩展复杂场景
当需要添加输出参数、返回值或自定义类型时,可使用 DynamicParameters 类。
它允许你显式添加参数,并设置方向、类型等属性。
示例:
var parameters = new DynamicParameters();
parameters.Add("@Email", "user@example.com");
parameters.Add("@Count", dbType: DbType.Int32, direction: ParameterDirection.Output);
<p>connection.Execute("GetUserCountByEmail", parameters, commandType: CommandType.StoredProcedure);</p><p>int count = parameters.Get<int>("@Count");
这种方式依然使用参数化查询,不受用户输入内容影响。
如何确保防止SQL注入?
关键在于永远不要拼接用户输入到SQL字符串中。只要使用参数化查询,无论输入多恶意,都会被当作数据而非代码处理。
避免 string.Format 或 $"" 拼接SQL 不要把用户输入直接放入SQL字符串 表名、列名也不能用参数替换(参数只能用于值),这类场景需白名单校验或使用ORM辅助错误示例(危险!):
// 千万别这么写
string sql = $"SELECT * FROM Users WHERE Name = '{userName}'";
正确做法始终是:
string sql = "SELECT * FROM Users WHERE Name = @Name";
var user = connection.Query(sql, new { Name = userName });
基本上就这些。只要坚持用Dapper的参数机制传值,不拼SQL,就能有效规避绝大多数SQL注入风险。
