Visual Studio编译时SQL验证

时间:2016-04-29 12:54:03

标签: c# sql validation roslyn

如果我有这样的Dapper.NET查询:

conn.Execute("insert into My_Table values ('blah', 'blah, 'blah', 'blah')");

如何强制visual studio针对某个数据库模式对此查询进行编译时验证?我知道有些库可以进行查询验证(提供字符串和连接),但这里的工作正确的工具是什么?

扩展Roslyn以检查我标记为查询字符串的字符串(语法类似于熟悉的@“非转义字符串”)?自定义预处理?

或者我问错了问题?将所有查询逻辑包装在我的数据库项目中的存储过程中是否更安全(这让我验证了查询本身)?现在我写下来了,我想我实际上会采用那种解决方案,但我仍然对上述情况感到好奇。我希望能写下来:

 conn.Execute(#"insert into My_Table values ('blah',
 'blah, 'blah', 'blah')"); //Hashtag to mark as query

让编译器根据给定的数据库模式验证字符串。

1 个答案:

答案 0 :(得分:1)

一种选择是编写Roslyn分析器。分析器要做的是找到对Execute()等函数的所有调用,如果它们的参数是一个常量字符串,请使用你提到的库验证它。

实现分析器时,您将遇到的一个问题是如何指定要验证的数据库模式。除非您想以某种方式在分析器中对其进行硬编码,否则似乎可以使用"additional files"currently requires hand-editing the csproj of any project where you want to use the analyzer)。

分析仪看起来像这样(请注意,您可能需要修改代码以使其更加健壮):

public override ImmutableArray<DiagnosticDescriptor> SupportedDiagnostics
    => ImmutableArray.Create(BadSqlRule, MissingOptionsFileRule);

public override void Initialize(AnalysisContext context)
{
    context.RegisterCompilationStartAction(AnalyzeCompilationStart);
    context.RegisterCompilationAction(AnalyzeCompilation);
    context.RegisterSyntaxNodeAction(AnalyzeNode, SyntaxKind.InvocationExpression);
}

private Config config = null;

private void AnalyzeCompilationStart(CompilationStartAnalysisContext context)
{
    var configFile = context.Options.AdditionalFiles
        .SingleOrDefault(f => Path.GetFileName(f.Path) == "myconfig.json");

    config = configFile == null
        ? null
        : new Config(configFile.GetText(context.CancellationToken).ToString());
}

private void AnalyzeCompilation(CompilationAnalysisContext context)
{
    if (config == null)
        context.ReportDiagnostic(Diagnostic.Create(MissingOptionsFileRule, Location.None));
}

private void AnalyzeNode(SyntaxNodeAnalysisContext context)
{
    if (config == null)
        return;

    var node = (InvocationExpressionSyntax) context.Node;

    var symbol = (IMethodSymbol) context.SemanticModel.GetSymbolInfo(
        node, context.CancellationToken).Symbol;

    // TODO: properly check it's one of the methods we analyze
    if (symbol.ToDisplayString().Contains(".Execute(string"))
    {
        var arguments = node.ArgumentList.Arguments;
        if (arguments.Count == 0)
            return;

        var firstArgument = arguments.First().Expression;

        if (!firstArgument.IsKind(SyntaxKind.StringLiteralExpression))
            return;

        var sqlString = (string)((LiteralExpressionSyntax) firstArgument).Token.Value;

        if (Verify(config, sqlString))
            return;

        context.ReportDiagnostic(
            Diagnostic.Create(BadSqlRule, firstArgument.GetLocation(), sqlString));
    }
}
相关问题
最新问题