C# 我是否可以让Linq To Sql将实际值嵌入到查询中,而不是将它们作为参数传递?
我有以下代码:C# 我是否可以让Linq To Sql将实际值嵌入到查询中,而不是将它们作为参数传递?,c#,.net,linq-to-sql,parameter-sniffing,C#,.net,Linq To Sql,Parameter Sniffing,我有以下代码: IQueryable<SomeType> allItems = ...; var selectedItems = allItems.Where( item => ( item.State == 1 || item.State == 3 ) ); Console.WriteLine( selectedItems.ToString() ); IQueryable allItems=。。。; var selectedItems=allItems.Where(item
IQueryable<SomeType> allItems = ...;
var selectedItems = allItems.Where( item => ( item.State == 1 || item.State == 3 ) );
Console.WriteLine( selectedItems.ToString() );
IQueryable allItems=。。。;
var selectedItems=allItems.Where(item=>(item.State==1 | | item.State==3));
Console.WriteLine(selectedItems.ToString());
SELECT [t0].[ItemId], [t0].[State], <other columns>
FROM [Items] AS [t0]
WHERE [t0].[State] = @p0 OR [t0].[State] = @p1
选择[t0].[ItemId],[t0].[State],
从[项目]到[t0]
其中[t0].[State]=@p0或[t0].[State]=@p1
如果[t0].[State]=1或[t0].[State]=3,我是否可以让Ling To Sql发出
?在Linq To Sql按照所述和生成Sql后,有两种方法可以操作Sql,但我不建议使用这两种方法,因为它们很可能会很脆弱
参数化sql是使用orm(如LINQtoSQL或实体框架)的主要好处之一,这可以防止。Sql server还将缓存参数化Sql的执行计划,从而提高应用程序的总体性能
这是一篇关于参数化sql的好处的好文章。我怀疑你能否强迫它生成常量来代替参数:他们认为参数更好,所以他们在任何地方都使用参数。您可以尝试item=>new[]{1,3}.Contains(item.State)
,但我怀疑您会在SQL中(@p0,@p1)。是的,当我这样做的时候,我正好在(@p0,@p1)。那么您认为LINQ应该接受SQL注入攻击吗@Bum:注入一个数字到底会导致什么样的意外行为?SQL注入攻击有很好的文档记录。这一点都不好笑。我知道什么是SQL注入。在我的例子中,这些值保证被清除。当您有一个过滤索引(例如其中x=1和y=2
)时,这可能很有用,但如果这些是参数,除非列是索引本身的一部分,否则索引不会提取它们