Wie kann ich Tabellennamen in SQL Server-Abfragen mithilfe von .NET indirekt parametrisieren?-MySQL-Tutorial-php.cn

Wie kann ich Tabellennamen in SQL Server-Abfragen mithilfe von .NET indirekt parametrisieren?

Linda Hamilton

Freigeben： 2024-12-17 08:53:25

Original

593 Leute haben es durchsucht

How Can I Indirectly Parameterize Table Names in SQL Server Queries Using .NET?

Verwenden von Parametern für Tabellennamen in SQL Server mit .NET

In bestimmten Szenarien möchten Entwickler möglicherweise nicht nur Werte, sondern auch andere Teile einer SQL-Abfrage parametrisieren. wie Tabellennamen. Während eine direkte Parametrisierung von Tabellennamen nicht möglich ist, gibt es indirekte Methoden, um dies zu erreichen.

Indirekte Parametrisierung über sp_ExecuteSQL

Ein Ansatz besteht in der Verwendung der gespeicherten Prozedur sp_ExecuteSQL, die die Ausführung dynamischer SQL-Anweisungen ermöglicht . Durch die Erstellung der Abfrage in C# und die Verkettung des Tabellennamens als Zeichenfolge können Entwickler diese parametrisierte Abfrage an die Datenbank senden.

Erstellen und Senden einer parametrisierten Abfrage

Alternativ können Entwickler auch manuell erstellen das parametrisierte TSQL in C#. Dabei wird der Tabellenname mit dem Rest der Abfrage verkettet und als Befehl gesendet. Das Whitelisting des Tabellennamens ist von entscheidender Bedeutung, um böswillige Eingaben zu verhindern.

Sicherheitsüberlegungen

Auch wenn Entwickler die einzigen Benutzer des Codes sind, ist es dennoch wichtig zu beachten, dass der Parametrisierungsansatz keine signifikante Bedeutung bietet Erhöhung der Sicherheit. Die beste Vorgehensweise besteht weiterhin darin, dem aufrufenden Benutzer oder der aufrufenden Anwendung bestimmte SELECT-Berechtigungen für Tabellen zu gewähren.

Codebeispiel

Beispiel für die indirekte Parametrisierung von Tabellennamen mit sp_ExecuteSQL:

string tableName = "Employee";
string sql = "SELECT * FROM " + tableName + " WHERE Id = @Id";
using (SqlConnection connection = new SqlConnection(connectionString))
{
    using (SqlCommand command = connection.CreateCommand())
    {
        command.CommandText = sql;
        command.Parameters.AddWithValue("@Id", id);
        SqlDataReader reader = command.ExecuteReader();
    }
}

Nach dem Login kopieren

In In diesem Beispiel wird der Tabellenname als Zeichenfolge innerhalb des Befehlstextes verkettet.

Das obige ist der detaillierte Inhalt vonWie kann ich Tabellennamen in SQL Server-Abfragen mithilfe von .NET indirekt parametrisieren?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!