System.Linq.Dynamic.Core 动态查询参数化实践指南

动态LINQ查询中的参数化问题

System.Linq.Dynamic.Core 是一个强大的.NET库，它允许开发者使用字符串表达式构建LINQ查询。然而在实际使用中，开发者可能会遇到一个常见问题：动态生成的SQL查询没有正确参数化，导致每次查询都生成不同的执行计划，影响性能并可能带来SQL注入风险。

问题现象分析

当使用类似以下代码时：

var guid = Guid.Parse("2bea135c-01a3-427c-9011-55b772f0008d");
Context.JsonWebTokens.Where("Id == @0", guid).Take(20).ToDynamicArray();

生成的SQL可能直接将参数值硬编码在查询中，而不是使用参数化查询：

exec sp_executesql N'SELECT TOP(@__p_0) [j].[UserId] 
FROM [Identity].[JsonWebToken] AS [j]
WHERE [j].[Id] > ''2bea135c-01a3-427c-9011-55b772f0008d'''

解决方案：启用参数化名称

System.Linq.Dynamic.Core 提供了配置选项来强制使用参数化查询。通过创建 ParsingConfig 实例并设置 UseParameterizedNamesInDynamicQuery 属性为 true，可以确保查询参数被正确参数化：

var config = new ParsingConfig
{
    UseParameterizedNamesInDynamicQuery = true
};

var guid = Guid.Parse("2bea135c-01a3-427c-9011-55b772f0008d");
Context.JsonWebTokens.Where(config, "Id == @0", guid).Take(20).ToDynamicArray();

启用后，生成的SQL将使用参数化形式：

exec sp_executesql N'SELECT TOP(@__p_1) [j].[Id]
FROM [Identity].[JsonWebToken] AS [j]
WHERE [j].[Id] = @__guid_0',
N'@__p_1 int,@__guid_0 uniqueidentifier',
@__p_1=20,@__guid_0='2BEA135C-01A3-427C-9011-55B772F0008D'

参数化查询的优势

1. 性能优化：SQL Server可以重用执行计划，减少编译开销
2. 安全性增强：有效防止SQL注入攻击
3. 资源节约：减少内存中缓存的查询计划数量
4. 可读性提升：日志中的查询更清晰易读

最佳实践建议

1. 建议将 UseParameterizedNamesInDynamicQuery 设置为全局默认值
2. 对于频繁执行的查询，参数化能显著提升性能
3. 处理敏感数据时，参数化是基本的安全要求
4. 在应用启动时统一配置解析配置，确保一致性

通过正确配置System.Linq.Dynamic.Core的参数化选项，开发者可以在享受动态查询灵活性的同时，不牺牲应用性能和安全性。