Dapper怎么实现动态排序 Dapper ORDER BY动态参数化

Dapper不支持ORDER BY参数化，必须通过白名单校验安全拼接字段名和ASC/DESC方向，WHERE条件仍可用参数化，确保无SQL注入风险。

Dapper 本身不支持直接将 ORDER BY 子句作为参数化参数传入（像 @sortColumn 那样），因为 SQL Server、MySQL 等数据库引擎不允许对排序字段或方向做参数化——这属于**SQL 结构的一部分，不是数据值**。所以动态排序必须拼接 SQL 字符串，但关键是要**安全拼接，防止 SQL 注入**。

只允许白名单字段名用于 ORDER BY

最稳妥的做法是：把合法的排序字段名硬编码在白名单中，用户传来的字段名必须匹配其中之一，否则拒绝。

• 定义允许的列名集合，例如：new[] { "Id", "Name", "CreatedTime", "Status" }
• 接收前端传来的 sortField（如 "name" 或 "createdtime"），统一转大写/小写后校验是否在白名单内
• 不区分大小写校验更友好，但最终拼进 SQL 的列名要用原始大小写（确保数据库能识别，尤其 PostgreSQL 对大小写敏感）

排序方向（ASC/DESC）也需白名单控制

方向不能直接拼接用户输入的字符串（比如 "ASC; DROP TABLE Users"），必须限定为两个值之一。

• 只接受 "asc" 或 "desc"（忽略大小写），其他值默认按 ASC 或抛异常
• 拼接时用三元表达式或字典映射，避免字符串拼接任意内容
• 示例：var orderDirection = string.Equals(dir, "desc", StringComparison.OrdinalIgnoreCase) ? "DESC" : "ASC";

构建 SQL 时手动拼接，不走参数化

Dapper 的 Query<t></t> 仍可对 WHERE 条件用参数化，仅 ORDER BY 部分由代码安全拼出：

标签： mysql 前端 编码 app 工具 ai sql注入 c#