EF自带防SQL注入 FromSqlInterpolated方法——无法查询BUG

项目场景：

项目场景：项目使用.net core EF做SQL查询，为了懒省事儿，使用EF自带防止SQL注入方法：FromSqlInterpolated 。

 

问题描述：

 

发现屏蔽了like %查询使得无法查询出数据！

 

防SQL注入错误代码：

@Override
        public void run() {
           string name='张三'; 
           FormattableString fstr=$@"select * from staff where IsEnabled=1 and StaffName like Concat('%','{name}','%')";
           db.FromSqlInterpolated (fstr);
        }

原因分析：
EF自带的过滤后查询不到“张三”，多次测试SQL语句，过滤将特殊字符 like ，%等 给过滤导致查询失败。

解决方案：
使用FromSqlRaw 方法，自定义Paramtter，例子如下（Mysql方式，SQLSERVER去掉My）：

防SQL注入正确代码：

@Override
        public void run() {
           string name='张三'; 
           MySqlParameter[] sqlparment=new MySqlParameter[]{ new  MySqlParameter("@TestName",name)};
           FormattableString fstr=$@"select * from staff where IsEnabled=1 and StaffName like @TestName ";
           db.FromSqlRaw(fstr,sqlparment);
        }

————————————————
版权声明：本文为CSDN博主「object-null」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/A_158/article/details/111919787