当前位置: 首页
编程语言
C#执行原生SQL教程EFCore FromSqlRaw与参数化查询详解

C#执行原生SQL教程EFCore FromSqlRaw与参数化查询详解

热心网友 时间:2026-05-08
转载

EFCore的FromSqlRaw方法可执行原生SQL查询,但需注意安全与性能。必须使用参数化查询防止SQL注入,不可在方法后链式调用LINQ条件以免内存过滤。查询结果列必须与实体属性严格匹配,建议避免SELECT*并显式指定列。纯读取场景应使用AsNoTracking以提升性能。跨数据库时需注意列名大小写与空值映射等细节。

# C# 如何执行原生 SQL:EF Core FromSqlRaw 与参数化查询的核心要点 在 EF Core 中使用原生 SQL 查询时,`FromSqlRaw` 是一个强大的工具,但它也像一把双刃剑——用得好能解决复杂查询需求,用不好则可能引入安全漏洞和性能问题。以下是几个必须掌握的核心要点。 ## FromSqlRaw 本身不防注入,必须配合参数化写法才安全 直接拼接字符串等于裸奔。EF Core 的 `FromSqlRaw` 方法不会自动识别变量,它只是将传入的字符串原样传递给数据库——除非你显式提供参数。 **错误写法**:`"SELECT * FROM Users WHERE Name = '" + name + "'"`,这会直接触发 SQL 注入攻击。 **正确做法**是使用位置占位符 `{0}` 或 `SqlParameter`: ```csharp // 使用位置占位符 context.Users.FromSqlRaw("SELECT * FROM Users WHERE Age > {0} AND Status = {1}", 18, "Active") // 使用 SqlParameter(更灵活,可控制类型) context.Users.FromSqlRaw("SELECT * FROM Users WHERE Name LIKE @name", new SqlParameter("@name", "%john%")) ``` 前者依靠 EF Core 自动转换为命名参数(如 `@p0`),后者则可以精确控制 `SqlDbType` 和空值处理,通常更稳妥。 ## FromSqlRaw 只能用于 DbSet,不能链式调用 Where 等 LINQ 方法 这是一个常见的性能陷阱。你不能在 `FromSqlRaw` 后再写 `.Where(x => x.IsActive)`,因为 EF Core 不会把这些 LINQ 方法翻译成 SQL,而是先执行原始 SQL,然后在内存中进行过滤——数据量大时性能会直接崩盘。 **常见误用**: ```csharp context.Users .FromSqlRaw("SELECT * FROM Users") .Where(u => u.CreatedAt > DateTime.Today) // ❌ 内存过滤! .ToList(); ``` **正确方式**是把条件直接写进 SQL 里: ```csharp context.Users .FromSqlRaw("SELECT * FROM Users WHERE CreatedAt > {0}", DateTime.Today) .ToList(); ``` 或者改用 `FromSqlInterpolated`(EF Core 5+ 支持),它支持字符串插值且自动参数化,写起来更自然: ```csharp var cutoff = DateTime.Today; context.Users .FromSqlInterpolated($"SELECT * FROM Users WHERE CreatedAt > {cutoff}") .ToList(); ``` ## 列名、顺序、类型必须和实体完全一致 `FromSqlRaw` 不做任何字段映射,也不容错。SQL 返回的列必须和实体属性严格匹配: - **列名必须一致**(大小写敏感,尤其在 PostgreSQL 中) - **顺序必须一致**(按实体属性定义顺序) - **类型必须兼容**(比如数据库返回 `datetime2`,实体用 `DateTime?` 却对应了 `NOT NULL` 列) **常见问题**: - 少一列 → 未映射属性为默认值 - 多一列 → 直接抛 `InvalidOperationException` - 类型不兼容 → 运行时失败 **最佳实践**: 1. 别用 `SELECT *`:表结构变更后极易出错 2. 别乱加别名:`SELECT u.Name AS UserName` → 实体必须有 `UserName` 属性 3. 计算列或 `NULL` 值要小心:例如 `SELECT Id, Name, COUNT(*) AS Count`,若实体没 `Count` 属性就失败 需要部分字段?建议新建一个轻量 DTO 类,使用 `AsNoTracking()` + 手动投影,或者换用 `SqlQueryRaw()`(EF Core 5+)。 ## 查询完记得加 AsNoTracking() `FromSqlRaw` 默认开启变更跟踪,哪怕你只是读取报表数据。这会导致 EF Core 缓存所有实体、监听属性变化、额外分配内存——在纯读场景下毫无必要。 加上 `AsNoTracking()` 能显著降低 GC 压力和查询耗时: ```csharp context.Users .FromSqlRaw("SELECT Id, Name, Email FROM Users WHERE IsActive = {0}", true) .AsNoTracking() .ToList(); ``` **注意**:加了 `AsNoTracking()` 之后,实体不可直接修改提交。如需更新,得重新查询或手动 `Attach`。 ## 最容易被忽略的细节 在实际项目中,最常被忽略的是列名大小写和空值处理: 1. **跨数据库迁移时**:PostgreSQL 默认小写,SQL Server 默认不敏感但配置可变 2. **NULL 字段映射**:映射到非可空类型会静默失败或报异常,不是所有环境都开启详细日志 这些问题往往在测试环境不出现,一到生产环境就暴露,需要格外注意。
来源:https://www.php.cn/faq/2415863.html

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

同类文章
更多
Debian下Golang跨平台开发方法指南

Debian下Golang跨平台开发方法指南

在Debian系统上,通过Go原生交叉编译、标准库跨平台抽象及合理代码设计,实现“一次编写,多平台运行”。方法包括环境配置、平台差异处理、交叉编译、依赖管理与多平台测试,最终生成稳定静态可执行文件。

时间:2026-07-09 06:54
Express服务器JSON请求体正确解析完整实践指南

Express服务器JSON请求体正确解析完整实践指南

Express应用中发现`req body`显示为`[Object]`,并非JSON解析失败,而是`console log()`默认对象缩略行为所致。使用`JSON stringify()`或`util inspect()`可完整查看数据结构。正确配置`express json()`中间件并设置请求头,即可确保解析成功。生产环境应避免直接输出敏感数据,建议限

时间:2026-07-09 06:54
Java泛型构造惯用模式:工厂模式替代反射与冗余参数

Java泛型构造惯用模式:工厂模式替代反射与冗余参数

Java接口无法声明构造方法,初始化泛型子类型时应使用工厂接口或Supplier函数式接口,避免反射与自引用泛型。工厂模式实现编译期安全、零反射开销、IDE友好,按需选用Supplier或专用工厂接口。

时间:2026-07-09 06:54
Debian系统Golang并发编程入门教程

Debian系统Golang并发编程入门教程

在Debian系统通过包管理器安装Golang,介绍并发编程:Goroutines是轻量级线程,用go关键字启动;Channels用于同步通信,两者结合实现高并发服务。

时间:2026-07-09 06:54
Debian下Golang机器学习库推荐与使用指南

Debian下Golang机器学习库推荐与使用指南

在Debian系统配置Golang环境后,可选用Gorgonia、Gonum和GoLearn等机器学习库。以Gorgonia为例,通过计算图定义线性回归模型,利用梯度下降优化均方误差,训练后即可预测新数据。

时间:2026-07-09 06:54
热门专题
更多
刀塔传奇破解版无限钻石下载大全 刀塔传奇破解版无限钻石下载大全
洛克王国正式正版手游下载安装大全 洛克王国正式正版手游下载安装大全
思美人手游下载专区 思美人手游下载专区
好玩的阿拉德之怒游戏下载合集 好玩的阿拉德之怒游戏下载合集
不思议迷宫手游下载合集 不思议迷宫手游下载合集
百宝袋汉化组游戏最新合集 百宝袋汉化组游戏最新合集
jsk游戏合集30款游戏大全 jsk游戏合集30款游戏大全
宾果消消消原版下载大全 宾果消消消原版下载大全
  • 热门数据榜