解决因对EFCore执行SQL方法不熟练而引起的问题

前言

本文测试环境:VS2022+.Net7+MySQL

因为我想要实现使用EFCore去执行sql文件,所以就用到了方法ExecuteSqlAsync,然后就产生了下面的问题,首先因为方法接收的参数是一个FormattableString,它又是一个抽象类,所以我就瞎测试使用下面方式构建

using var db = new OpenDbContext();
var mysqlSql2 = "INSERT INTO test1008.menus (id, name, create_time, modify_time) VALUES (default, '张飒1', '2023-10-08 17:26:45.000000', '2023-10-08 17:26:47.000000');";
var result = await db.Database.ExecuteSqlAsync($"{mysqlSql2}");

编译没有报错,但是一个运行,结果居然报错了

Unhandled exception. MySqlConnector.MySqlException (0x80004005): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''INSERT INTO test1008.menus (id, name, create_time, modify_time) VALUES (default' at line 1

看着这个错误我一直以为是哪个name列的值写的有问题,去数据库执行,没问题成功添加,代码中那个值换了好几次,就是不行,翻翻微软文档

using (var context = new BloggingContext())
{
    var rowsModified = context.Database.ExecuteSql($"UPDATE [Blogs] SET [Url] = NULL");
}

这不是和官方示例写的一样?难道是EFCore的bug?

寻找问题

抱着肯定不是EFCore bug的想法,查看源码吧

public static Task<int> ExecuteSqlAsync(
  this DatabaseFacade databaseFacade,
  FormattableString sql,
  CancellationToken cancellationToken = default (CancellationToken))
{
  return databaseFacade.ExecuteSqlRawAsync(sql.Format, (IEnumerable<object>) sql.GetArguments(), cancellationToken);
}

然后我就发现它源码里面还是从这个入参的sql中获取到对应的sql以及GetArguments,那么我就像提前构建一个FormattableString看下取到的值是多少

FormattableString mysqlSql = $"INSERT INTO test1008.menus (id, name, create_time, modify_time) VALUES (default, '张飒1', '2023-10-08 17:26:45.000000', '2023-10-08 17:26:47.000000');";

mysqlSql.Format.Dump();
mysqlSql.GetArguments().Dump();

这里的dump方法可以查看:此处

这不是也没问题吗,然后突然发现下面代码可以正常运行

using var db = new OpenDbContext();
FormattableString mysqlSql = $"INSERT INTO test1008.menus (id, name, create_time, modify_time) VALUES (default, '张飒1', '2023-10-08 17:26:45.000000', '2023-10-08 17:26:47.000000')";

var result = await db.Database.ExecuteSqlAsync(mysqlSql);

那看来问题就出在ExecuteSqlAsync方法的入参上了,然后我这么测试

FormattableString mysqlSql = $"INSERT INTO test1008.menus (id, name, create_time, modify_time) VALUES (default, '张飒1', '2023-10-08 17:26:45.000000', '2023-10-08 17:26:47.000000');";

mysqlSql.Format.Dump();
mysqlSql.GetArguments().Dump();

FormattableString sql2 = $"{mysqlSql}";
sql2.Format.Dump();
sql2.GetArguments().Dump();

解决问题

到这里看来原因就出来了,是因为$的问题哦,那么解决方案就成先定义一个FormattableString类型直接传进入,或者

using var db = new OpenDbContext();
var name = "李四";
var result = await db.Database.ExecuteSqlAsync(
    $"INSERT INTO test1008.menus (id, name, create_time, modify_time) VALUES (default, '{name}', '2023-10-08 17:26:45.000000', '2023-10-08 17:26:47.000000');");
result.Dump();

不过这里需要注意,ExecuteSqlAsync方法里面的sql在EFCore中并没有给你放到一个事务里面,所以如果有需要,那么就只好自己创建事务了

using var db = new OpenDbContext();
var name = "李四";
using var tran = db.Database.BeginTransaction();
var result = await db.Database.ExecuteSqlAsync(
    $"INSERT INTO test1008.menus (id, name, create_time, modify_time) VALUES (default, '{name}', '2023-10-08 17:26:45.000000', '2023-10-08 17:26:47.000000');");
tran.Commit();
result.Dump();

未完

虽然解决了那个报错的问题,但是还是没解决我想执行sql文件,那只好换个方法去写了,自己去获取连接然后操作ADO.NET去执行吧(这里暂且先不用Dapper),我麻溜写下下面示例代码,顺带考虑到那个要裹在一个事务里面的情况(未封装,仅供参考)

// 模拟sql文件
var mysqlSql = @"INSERT INTO test1008.menus (id, name, create_time, modify_time) VALUES (default, '张飒1', '2023-10-08 17:26:45.000000', '2023-10-08 17:26:47.000000');
INSERT INTO test1008.menus (id, name, create_time, modify_time) VALUES (default, '张飒1', 'error情况', '2023-10-08 17:26:47.000000');";

using var db = new OpenDbContext();
using var connection = db.Database.GetDbConnection();
using var tran = db.Database.BeginTransaction();
var cmd = connection.CreateCommand();
cmd.CommandText = mysqlSql;
int i = await cmd.ExecuteNonQueryAsync();
await tran.CommitAsync();
i.Dump();

运行居然报错:The transaction associated with this command is not the connection's active transaction ,还好报错中给了一个文档网站,网站中说我应该这么操作,将我开启的事务传递给cmd变量,也就是

// error 不能将源类型 'Microsoft.EntityFrameworkCore.Storage.IDbContextTransaction' 转换为目标类型 'System.Data.Common.DbTransaction
cmd.Transaction = tran;

一脸懵逼这俩都对不上咋给,然后在看tran.的时候手滑点了一下,出来一个

cmd.Transaction = tran.GetDbTransaction();

源码如下

public static DbTransaction GetDbTransaction(this IDbContextTransaction dbContextTransaction) => dbContextTransaction is IInfrastructure<DbTransaction> accessor ? accessor.GetInfrastructure<DbTransaction>() : throw new InvalidOperationException(RelationalStrings.RelationalNotInUse);

这不是巧了,修改上面的代码如下

var mysqlSql = @"INSERT INTO test1008.menus (id, name, create_time, modify_time) VALUES (default, '张飒1', '2023-10-08 17:26:45.000000', '2023-10-08 17:26:47.000000');
INSERT INTO test1008.menus (id, name, create_time, modify_time) VALUES (default, '张飒1', '20xxcfdsfs000', '2023-10-08 17:26:47.000000');";

using var db = new OpenDbContext();
using var connection = db.Database.GetDbConnection();
using var tran = db.Database.BeginTransaction();
var cmd = connection.CreateCommand();
cmd.CommandText = mysqlSql;
cmd.Transaction = tran.GetDbTransaction();
int i = await cmd.ExecuteNonQueryAsync();
await tran.CommitAsync();
i.Dump();

因为我的sql第二条是错误的,所以运行成功报错,数据库中也不存在数据,这就是想要的效果。

再次修改sql后执行成功,数据库存在两条数据,实现了我的需求,完成。

FormattableString 介绍

以下内容来自chatgpt

FormattableString 是 C# 中的一个类,用于支持可格式化字符串的操作。它是在 .NET Framework 4.6 版本中引入的。

FormattableString 类的目的是提供一种方便的方式来创建可格式化的字符串。它可以使用类似于字符串插值的语法,但不会立即进行字符串插值操作,而是保留可格式化字符串的原始形式和参数的值。这使得开发人员可以在稍后的时间点或其他上下文中决定如何格式化字符串,以便满足特定的需求。

在使用 FormattableString 时,可以通过使用 $ 符号前缀来创建一个可格式化字符串,例如:

FormattableString message = $"Hello, {name}. The current time is {DateTime.Now}.";

在EFCore中ExecuteSql方法使用该类型是用来防止SQL注入的

posted @ 2023-10-08 22:13  AZRNG  阅读(928)  评论(4编辑  收藏  举报