EntityFramework.Docs 项目中关于 FromSqlRaw 参数类型的注意事项

在 Entity Framework Core 中使用原生 SQL 查询时，开发人员经常会遇到参数类型不匹配的问题。本文将以 SQL Server 和 SQLite 为例，详细说明如何正确使用参数类型。

参数类型的重要性

当使用 FromSqlRaw 方法执行原生 SQL 查询时，EF Core 要求参数类型必须与底层数据库提供程序相匹配。这意味着：

1. 对于 SQL Server 数据库，应使用 Microsoft.Data.SqlClient.SqlParameter
2. 对于 SQLite 数据库，应使用 Microsoft.Data.Sqlite.SqliteParameter
3. 对于 PostgreSQL 数据库，应使用 Npgsql.NpgsqlParameter

常见错误示例

开发人员可能会犯以下错误：

// 错误示例 - 使用 SqlParameter 但实际连接的是 SQLite
var columnValue = new SqlParameter("columnValue", "http://SomeURL");
var blogs = context.Blogs
    .FromSqlRaw($"SELECT * FROM [Blogs] WHERE Url = @columnValue", columnValue)
    .ToList();

这段代码在 SQLite 环境下运行时会产生类型转换异常，因为 SqlParameter 是 SQL Server 特有的类型。

正确用法

SQL Server 正确用法

// SQL Server 正确用法
var columnValue = new SqlParameter("columnValue", "http://SomeURL");
var blogs = context.Blogs
    .FromSqlRaw("SELECT * FROM [Blogs] WHERE Url = @columnValue", columnValue)
    .ToList();

SQLite 正确用法

// SQLite 正确用法
var columnValue = new SqliteParameter("columnValue", "http://SomeURL");
var blogs = context.Blogs
    .FromSqlRaw("SELECT * FROM [Blogs] WHERE Url = @columnValue", columnValue)
    .ToList();

最佳实践建议

1. 使用参数化查询：始终使用参数化查询来防止 SQL 注入攻击
2. 匹配数据库提供程序：确保参数类型与使用的数据库提供程序一致
3. 考虑使用字符串插值：EF Core 7.0+ 支持使用字符串插值方式传递参数，这种方式会自动处理参数类型
4. 统一代码：如果项目需要支持多种数据库，可以考虑使用工厂模式创建参数

总结

在 EF Core 中使用原生 SQL 查询时，参数类型的正确选择至关重要。开发人员必须确保使用的参数类型与当前数据库提供程序相匹配，否则会导致运行时异常。通过遵循上述最佳实践，可以避免这类问题并编写出更健壮的数据库访问代码。