Entity Framework - استخدام FromSqlInterpolated لكتابة استعلامات خام آمنة

-

Entity Framework - استخدام FromSqlInterpolated لكتابة استعلامات خام آمنة

أحيانًا أثناء استخدام Entity Framework Core نحتاج إلى كتابة استعلامات SQL مخصصة (Raw SQL Queries) بسبب تعقيد بعض العمليات أو لرغبتنا في أداء أفضل. ولكن كتابة SQL يدويًا قد يعرضنا لخطر حقن SQL (SQL Injection) إذا لم يتم التعامل معه بحذر.

لذلك، توفر EF Core طريقة آمنة لكتابة استعلامات خام باستخدام FromSqlInterpolated لضمان الحماية ضد الحقن.

🔹 ما هو FromSqlInterpolated؟

FromSqlInterpolated هي دالة تتيح لك تمرير استعلام SQL مكتوب يدويًا مع دعم تمرير المتغيرات بشكل آمن، بحيث تتجنب أخطار SQL Injection عبر المعاملات (Parameters).

🔹 الفرق بين FromSqlRaw و FromSqlInterpolated

  • FromSqlRaw: تستخدم استعلام SQL عادي مع معلمات (parameters) يتم تمريرها منفصلة.
  • FromSqlInterpolated: تتيح دمج المتغيرات داخل الاستعلام باستخدام string interpolation مع ضمان حماية تلقائية.

🔹 كيفية استخدام FromSqlInterpolated

مثال عملي: لنفترض أن لدينا جدول منتجات ونريد جلب المنتجات بناءً على سعر معين. 


decimal minPrice = 50;

var products = await _context.Products
    .FromSqlInterpolated($"SELECT * FROM Products WHERE Price >= {minPrice}")
    .ToListAsync();

لاحظ كيف استخدمنا $ لدمج المتغير minPrice داخل الاستعلام بشكل آمن. EF Core يتعامل تلقائيًا مع هذا المتغير كـ Parameter وليس نصًا مباشرًا، مما يمنع تمامًا حقن SQL.

🔹 لماذا يعتبر FromSqlInterpolated أكثر أمانًا؟

لأنه يقوم بتحويل المتغيرات إلى معاملات (Parameters) بشكل تلقائي خلف الكواليس، مما يجعل الاستعلام آمناً ضد أي محاولة لحقن أو تلاعب بالاستعلام.

🔹 ملاحظة مهمة عند استخدام FromSqlInterpolated

  • يجب أن يتطابق ناتج الاستعلام مع الكيان (Entity) الذي تستدعي عليه FromSqlInterpolated.
  • إذا كانت الأعمدة المخرجة لا تطابق الكيان تمامًا، قد تحتاج إلى استخدام DTO مخصص أو تعديل الاستعلام.
  • تذكر أن FromSqlInterpolated يسمح فقط بجلب البيانات (SELECT)، ولا يُستخدم مباشرةً لتنفيذ أوامر مثل INSERT أو UPDATE أو DELETE (استخدم ExecuteSqlInterpolated لهذه الأوامر).

🔹 مثال عملي على استخدام متغيرين

لنكتب استعلامًا بجلب المنتجات بسعر بين حدين: 


decimal minPrice = 50;
decimal maxPrice = 150;

var products = await _context.Products
    .FromSqlInterpolated($"SELECT * FROM Products WHERE Price BETWEEN {minPrice} AND {maxPrice}")
    .ToListAsync();

🔹 مقارنة بالأكواد العادية (للتوضيح)

مقارنة بين طريقتين (واحدة آمنة باستخدام FromSqlInterpolated والثانية خطيرة باستخدام نص مباشر): 


// ❌ طريقة خطيرة (تعرضك لحقن SQL)
var products = await _context.Products
    .FromSqlRaw($"SELECT * FROM Products WHERE Name = '{userInput}'")
    .ToListAsync();

// ✅ الطريقة الآمنة
var productsSafe = await _context.Products
    .FromSqlInterpolated($"SELECT * FROM Products WHERE Name = {userInput}")
    .ToListAsync();

🔹 الخلاصة

استخدام FromSqlInterpolated هو أفضل وأأمن طريقة لكتابة استعلامات SQL مخصصة مع Entity Framework Core. فهو يجمع بين قوة الاستعلامات اليدوية وأمان المعاملات، مما يحميك من هجمات حقن SQL ويجعل الكود نظيفًا ومنظمًا.

تعليقات

إرسال تعليق

المشاركات الشائعة من هذه المدونة

C# - Arrays

-
C# - المصفوفات (Arrays) المصفوفة (Array) هي بنية بيانات تُستخدم لتخزين مجموعة من القيم من نفس النوع في مكان واحد بالذاكرة، ويتم الوصول إلى العناصر باستخدام رقم الفهرس (Index). 🔹 كيفية تعريف مصفوفة: // تعريف مصفوفة وتعيين قيم ابتدائية int[] numbers = { 1, 2, 3, 4, 5 }; // الوصول إلى العنصر الأول Console.WriteLine(numbers[0]); // النتيجة: 1 💡 ملاحظات: الفهرس يبدأ من 0، أي أول عنصر هو numbers[0] . يمكنك استخدام حلقة for أو foreach للتكرار على المصفوفة. يجب تحديد نوع البيانات التي ستحتويها المصفوفة. 🧪 مثال آخر: string[] fruits = new string[3]; fruits[0] = \"تفاح\"; fruits[1] = \"موز\"; fruits[2] = \"عنب\"; foreach (string fruit in fruits) { Console.WriteLine(fruit); } 📌 في هذا المثال، أنشأنا مصفوفة من ثلاث عناصر ومررنا عليها باستخدام foreach .
قراءة المزيد

Entity Framework - ما هو ORM؟ ونبذة عن Dapper وNHibernate

-
Entity Framework - ما هو ORM؟ ونبذة عن Dapper وNHibernate ORM هي اختصار لـ Object-Relational Mapping ، وتعني "الربط الكائني العلاقي". ببساطة، هي تقنية تُستخدم لربط الكائنات (Objects) في الكود مع الجداول (Tables) في قاعدة البيانات. 🔹 لماذا نحتاج إلى ORM؟ بدون ORM، نحتاج إلى كتابة استعلامات SQL يدوية والتعامل مع الكائنات بأنفسنا. بينما ORM توفر لنا طبقة وسيطة تقوم بتحويل الكود الكائني إلى استعلامات SQL تلقائيًا، والعكس أيضًا. 🔹 مزايا ORM تسريع التطوير. تقليل كمية الكود المكتوب. سهولة التعامل مع البيانات بشكل كائني. دعم التحقق من النوع (Type Checking) في وقت البرمجة. 🔹 عيوب ORM أداء أقل من SQL اليدوي في العمليات المعقدة. بعض المرونة تضيع بسبب التجريد العالي. 🔸 مقارنة بين EF Core وDapper وNHibernate التقنية النوع السهولة الأداء الدعم والانتشار Entity Framework Core ORM كامل سهل ومتكامل مع .NET متوسط مرتفع (مدعوم من Microsoft) ...
قراءة المزيد

Entity Framework - مقدمة عن Entity Framework

-
مقدمة عن Entity Framework 📜 لمحة تاريخية عن Entity Framework - أول إصدار من Entity Framework ظهر سنة 2008 كجزء من .NET Framework. - كان اسمه الرسمي ببساطة "Entity Framework"، ويعمل على ربط التطبيقات مع قواعد بيانات SQL بطريقة برمجية. - Entity Framework وفر وقتها أسلوبين رئيسيين للعمل: Database First ➔ إنشاء الكود انطلاقًا من قاعدة بيانات موجودة. Model First ➔ إنشاء قاعدة البيانات انطلاقًا من نموذج (Model) مرسوم. ✅ مع الوقت تطورت EF وتم إضافة أسلوب جديد يسمى Code First الذي أصبح من أكثر الطرق استخدامًا اليوم. 🔗 إصدارات Entity Framework قبل EF Core Entity Framework 1.0 (2008) - الإصدار الأول وكان محدود الإمكانيات. Entity Framework 4.0 (2010) - تحسينات كبيرة ودعم أفضل لـ POCO classes. Entity Framework 5.0 و6.0 (2012-2013) - دعم مميزات متقدمة مثل Migrations وتحسين الأداء. 💡 ملاحظة: لم يكن هناك EF 2.0 أو EF 3.0 رسميًا. 🚀 لماذا تم تطوير Entity Framework Core؟ مع ظهور .NET Core، احتاجت مايكروسوفت إلى نسخة خفيفة وعصرية م...
قراءة المزيد