Dapper 本身不支持直接将
ORDER BY子句作为参数化参数传入(像
@sortColumn那样),因为 SQL Server、MySQL 等数据库引擎不允许对排序字段或方向做参数化——这属于**SQL 结构的一部分,不是数据值**。所以动态排序必须拼接 SQL 字符串,但关键是要**安全拼接,防止 SQL 注入**。
只允许白名单字段名用于 ORDER BY
最稳妥的做法是:把合法的排序字段名硬编码在白名单中,用户传来的字段名必须匹配其中之一,否则拒绝。
定义允许的列名集合,例如:new[] { "Id", "Name", "CreatedTime", "Status" }
接收前端传来的 sortField(如 "name" 或 "createdtime"),统一转大写/小写后校验是否在白名单内 不区分大小写校验更友好,但最终拼进 SQL 的列名要用原始大小写(确保数据库能识别,尤其 PostgreSQL 对大小写敏感)
排序方向(ASC/DESC)也需白名单控制
方向不能直接拼接用户输入的字符串(比如
"ASC; DROP TABLE Users"),必须限定为两个值之一。 只接受
"asc"或
"desc"(忽略大小写),其他值默认按
ASC或抛异常 拼接时用三元表达式或字典映射,避免字符串拼接任意内容 示例:
var orderDirection = string.Equals(dir, "desc", StringComparison.OrdinalIgnoreCase) ? "DESC" : "ASC";
构建 SQL 时手动拼接,不走参数化
Dapper 的
Query<t></t>仍可对
WHERE条件用参数化,仅
ORDER BY部分由代码安全拼出:
var allowedColumns = new HashSet<string>(StringComparer.OrdinalIgnoreCase) { "Id", "Name", "CreatedTime", "Status" };
if (!allowedColumns.Contains(sortField)) throw new ArgumentException("非法排序字段");
<p>var orderDirection = string.Equals(sortDir, "desc", StringComparison.OrdinalIgnoreCase) ? "DESC" : "ASC";
var sql = $@"SELECT * FROM Users
WHERE Status = @status
ORDER BY {sortField} {orderDirection}";</p><p>var users = connection.Query<User>(sql, new {{ status = 1 }});注意:
{sortField} 和 {orderDirection} 是 C# 字符串插值,不是 SQL 参数 —— 它们已通过白名单校验,所以安全。
进阶:用 Expression 或扩展方法封装动态排序逻辑
为避免重复写校验逻辑,可封装成扩展方法:
定义一个OrderByClause类,包含
FieldName和
Direction写一个
BuildOrderBySql(allowedFields, userField, userDir)工具方法,统一校验+生成片段 甚至结合 ExpressionTree 把
u => u.Name转成字段名字符串(适合强类型场景,但要注意导航属性和别名)
基本上就这些。核心就一条:ORDER BY 动态化 ≠ 参数化,而是**受控拼接**。只要字段和方向都来自可信白名单,就不会有注入风险,同时保持 Dapper 的轻量和性能优势。
