【问题标题】:Can Entity Framework execute stored procedures without access to sp_executesql?实体框架可以在不访问 sp_executesql 的情况下执行存储过程吗?
【发布时间】:2022-01-08 03:42:40
【问题描述】:

大家好,

我继承了多个桌面应用程序,这些应用程序严重依赖存储过程进行数据操作。这些应用程序是用 VB6 编写的,我目前正试图弄清楚如何将它们移植到 .Net 5 或 .Net 6。

我了解 Entity Framework Core 能够执行存储过程。但是,在video I watched recently 中,我了解到 Entity Framework Core 通过存储过程 sp_executesql 执行数据函数,以允许执行开发人员可能动态生成的任何过程。

但是,正如上面链接的视频所述,这为桌面应用程序带来了安全漏洞。要触发 sp_executesql,桌面应用程序的用户必须具有可以在其系统上触发它的凭据。这些值可能被加密,但加密并非无懈可击。

如果我创建和使用的数据库凭据无法访问 sp_executesql,但可以访问我同事创建的存储过程,那么 Entity Framework 是否能够触发后者?

【问题讨论】:

  • 为什么需要一个存储过程来执行动态生成的 SQL?你真的需要这种能力吗?无需使用 SP 即可在客户端完成。
  • 也许我应该改写一下。我试图使用动态生成的 sql。我正在尝试通过实体框架调用我同事的 SP,这样我就不必重做他们的所有工作。

标签: c# database entity-framework permissions credentials


【解决方案1】:

您可以使用“原始 SQL 查询”直接执行您的存储过程,而不需要 sp_executesql

var customers = context.Customers.SqlQuery("dbo.sp_getcustomers");

或:

var customers = context.Customers.SqlQuery("dbo.sp_getcustomerbyid @p1", customerID);

SqlQuery 返回一个延迟加载的IEnumerable<T>

顺便说一句,原始 SQL 查询不仅对调用存储过程非常有用。您可以直接执行您自己选择的任意、格式良好的 SQL 语句,而不是仅仅依赖 Entity Framework 的 SQL 生成机制(有时会产生次优的 SQL)。

进一步阅读:
Raw SQL Queries (EF6)
Database.SqlQuery Method

【讨论】:

    【解决方案2】:

    如果我创建和使用的数据库凭据无法访问 sp_executesql,但可以访问我同事创建的存储过程,那么 Entity Framework 是否能够触发后者?

    这个问题的前提有双重缺陷。

    1. sp_executesql 可供所有用户使用,并且不存在任何类型的安全漏洞。您的用户将有权访问 sp_executesql。

    2. EF 并不是实际上 调用 sp_executesql。它将存储过程作为 RPC 而不是 TSQL 批处理来调用。这是内置的TDS protocol functionality。但分析器使用 sp_executesql 将 RPC 调用显示为 TSQL 批处理,以便您可以将调用复制并粘贴到查询窗口中进行测试。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2013-10-31
      • 2015-10-20
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多