dbContext.Database.ExecuteSqlInterpolated(FormattableString)
该函数不会发生SQL注入,因其根据FormattableString生成参数化SQL,而不是拼接SQL
注:FormattableString即为$""
dbContext.Database.ExecuteSqlRaw(string)
该函数会发生SQL注入,因其根据string生成拼接SQL
dbContext.Database.ExecuteSql(FormattableString)
该函数虽然参数类型为FormattableString,但实际上还是执行的ExecuteSqlRaw,只是参数从FormattableString参数中获取,所以还是会发生SQL注入
以上函数均有异步版本,返回值类型为int,含义为受影响数据行数
"实体相关查询"原生SQL语句
dbContext.Books(实体名).FromSqlInterpolated() ...... 以此类推
函数返回值类型为IQueryable,所以没有异步版本(IQueryable为可执行的查询,实际上对应的SQL并未生成、执行,所以无法异步)
但是,
"实体相关查询"的查询结果有时并不能与实体完整对应,且涉及到联表时会大量使用join,性能会受影响,为避免上述弊端可采用:
dbContext.Database.SqlQuery<DTO>()(高版本EFCore )或与其他框架联用(Dapper等)
