Dapper 可通过 Execute() 方法执行 DDL 语句，但需手动管理连接、禁止参数化标识符、校验表名列名、注意数据库事务行为差异，并建议在初始化阶段安全使用。

Dapper 本身不直接支持 DDL（Data Definition Language）语句的执行，但它完全可以通过底层 ADO.NET 的 IDbConnection 执行任意 SQL，包括 CREATE TABLE、ALTER TABLE、DROP TABLE 等。关键在于：Dapper 是一个微 ORM，它不封装或限制 SQL 类型，只负责参数化查询和结果映射 —— DDL 也不例外。

用 Execute() 方法执行 DDL

Dapper 提供了 Execute() 扩展方法，专用于执行不返回结果集的命令（如 INSERT/UPDATE/DELETE，也包括 DDL）。只要数据库驱动支持（如 SqlServer、PostgreSQL、SQLite），你就可以传入 DDL 字符串：

• 确保连接已打开（Dapper 不自动管理连接生命周期，需手动 Open()）
• DDL 语句中不能含参数占位符（如 @name），因为大多数数据库不支持参数化 DDL；表名、列名需拼接或通过白名单校验
• 注意权限：执行 DDL 需要数据库用户具备相应 DDL 权限（如 CREATE TABLE）

安全拼接表名与列名的建议

由于 DDL 不支持参数化标识符，若需动态建表（如按租户建表），应避免直接拼接用户输入。推荐做法：

• 使用白名单校验表名：例如只允许匹配 ^[a-zA-Z_][a-zA-Z0-9_]{2,29}$
• 用 QuoteIdentifier()（如 SqlServer 的 [$name]，PostgreSQL 的 "name"）防止关键字冲突
• 示例（SqlServer）：connection.Execute($"CREATE TABLE [{tableName}] (Id INT PRIMARY KEY)");

事务中执行 DDL 的注意事项

在部分数据库（如 SQL Server）中，DDL 语句会隐式提交当前事务，导致无法回滚；而在 PostgreSQL 中，DDL 可在事务内执行并支持回滚。使用前需确认目标数据库行为：

• SQL Server：DDL 后事务已结束，后续操作属于新事务
• PostgreSQL：支持 BEGIN; CREATE TABLE ...; ROLLBACK;
• MySQL：默认自动提交 DDL，但可通过 SET autocommit = 0 尝试控制（效果依版本而异）

结合迁移或初始化场景的实用方式

生产中不建议在业务代码中频繁执行 DDL。更稳妥的做法是：

• 用独立脚本或工具（如 DbUp、Flyway、Entity Framework Migrations）管理结构变更
• 仅在应用启动时（如 IHostedService）检查并创建缺失的基础表，且加锁防并发
• 记录 DDL 执行日志与版本号，便于审计和降级

基本上就这些 —— Dapper 执行 DDL 没有黑盒，靠的是 ADO.NET 底层能力，重点是安全拼接 + 权限校验 + 数据库行为适配。