Comment puis-je créer dynamiquement des requêtes SQL avec des valeurs paramétrées lorsque les noms de colonnes sont variables ?

Création de requêtes dynamiques en raison de RESTRICTIONS DE PARAMÈTRES

Lors de l'exécution de requêtes impliquant des noms de colonnes dynamiques, les développeurs peuvent rencontrer la limitation selon laquelle les noms de colonnes ne peuvent pas être paramétrés . Pour contourner ce problème, il faut créer dynamiquement la requête au moment de l'exécution.

Considérons l'exemple non fonctionnel suivant :

SqlCommand command = new SqlCommand("SELECT @slot FROM Users WHERE name=@name; ");
prikaz.Parameters.AddWithValue("name", name);
prikaz.Parameters.AddWithValue("slot", slot);

Au lieu de cela, ajoutez à la liste blanche l'entrée "slot" pour empêchez les attaques par injection et construisez la requête comme suit :

// TODO: verify that "slot" is an approved/expected value
SqlCommand command = new SqlCommand("SELECT [" + slot +
           "] FROM Users WHERE name=@name; ")
prikaz.Parameters.AddWithValue("name", name);

Cette approche garantit que "@name" reste paramétré, tout en gérant dynamiquement la colonne variable nom.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!