个人中心
gpt4 book ai didi

c# - Visual Studio 编译时 SQL 验证

转载 作者:行者123 更新时间:2023-11-30 17:38:17 34 4
gpt4 key购买 nike

如果我有一个像这样的 Dapper.NET 查询:

conn.Execute("insert into My_Table values ('blah', 'blah, 'blah', 'blah')");

我如何强制 visual studio 针对某个数据库模式对该查询进行编译时验证?我知道有些库可以进行查询验证(提供字符串和连接),但是这里的正确工具是什么?

扩展 Roslyn 以检查我标记为查询字符串的字符串(语法类似于熟悉的 @"Unescaped string")?自定义预处理?

还是我问错了问题?将所有查询逻辑包装在我的数据库项目中的存储过程中会更安全吗(这让我验证了查询本身)?既然我写下来了,我想我实际上会采用该解决方案,但我仍然对上述内容感到好奇。我希望能够写:

 conn.Execute(#"insert into My_Table values ('blah',
 'blah, 'blah', 'blah')"); //Hashtag to mark as query

并让编译器根据给定的数据库模式验证字符串。

最佳答案

一种选择是编写 Roslyn 分析器。分析器要做的是找到所有对 Execute() 等函数的调用,如果它们的参数是常量字符串,则使用您提到的库进行验证。

在实现分析器时,您会遇到的一个问题是如何指定要验证的数据库模式。除非您想以某种方式在分析器中对其进行硬编码,否则似乎这样做的方法是使用 "additional files" (其中currently requires hand-editing the csproj of any project where you want to use the analyzer)。

分析器可能如下所示(请注意,您可能需要修改代码以使其更健壮):

public override ImmutableArray<DiagnosticDescriptor> SupportedDiagnostics
    => ImmutableArray.Create(BadSqlRule, MissingOptionsFileRule);

public override void Initialize(AnalysisContext context)
{
    context.RegisterCompilationStartAction(AnalyzeCompilationStart);
    context.RegisterCompilationAction(AnalyzeCompilation);
    context.RegisterSyntaxNodeAction(AnalyzeNode, SyntaxKind.InvocationExpression);
}

private Config config = null;

private void AnalyzeCompilationStart(CompilationStartAnalysisContext context)
{
    var configFile = context.Options.AdditionalFiles
        .SingleOrDefault(f => Path.GetFileName(f.Path) == "myconfig.json");

    config = configFile == null
        ? null
        : new Config(configFile.GetText(context.CancellationToken).ToString());
}

private void AnalyzeCompilation(CompilationAnalysisContext context)
{
    if (config == null)
        context.ReportDiagnostic(Diagnostic.Create(MissingOptionsFileRule, Location.None));
}

private void AnalyzeNode(SyntaxNodeAnalysisContext context)
{
    if (config == null)
        return;

    var node = (InvocationExpressionSyntax) context.Node;

    var symbol = (IMethodSymbol) context.SemanticModel.GetSymbolInfo(
        node, context.CancellationToken).Symbol;

    // TODO: properly check it's one of the methods we analyze
    if (symbol.ToDisplayString().Contains(".Execute(string"))
    {
        var arguments = node.ArgumentList.Arguments;
        if (arguments.Count == 0)
            return;

        var firstArgument = arguments.First().Expression;

        if (!firstArgument.IsKind(SyntaxKind.StringLiteralExpression))
            return;

        var sqlString = (string)((LiteralExpressionSyntax) firstArgument).Token.Value;

        if (Verify(config, sqlString))
            return;

        context.ReportDiagnostic(
            Diagnostic.Create(BadSqlRule, firstArgument.GetLocation(), sqlString));
    }
}

关于c# - Visual Studio 编译时 SQL 验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36938911/

34 4 0
文章推荐: c - 求某个数组的平均值
文章推荐: javascript - 分离文本框的值并将其放在javascript中的数组中
文章推荐: c - 在C中,如何创建多个子进程(不知道需要多少个)?
文章推荐: javascript - 如何根据表中列的值禁用下拉菜单和按钮
行者123
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com