SQL dynamique avec paramètres de nom de colonne en C#
Pouvez-vous inclure des noms de colonnes en tant que paramètres dans une requête SqlCommand ? La réponse est normalement « non ». La raison en est que le moteur de base de données traite le plan de requête lorsque la connexion s'ouvre et avant que vous ayez défini des paramètres. Cependant, il existe certaines techniques que vous pouvez exploiter pour obtenir le résultat souhaité.
Considérons ce scénario :
SqlCommand command = new SqlCommand("SELECT @slot FROM Users WHERE name=@name; ");
prikaz.Parameters.AddWithValue("name", name);
prikaz.Parameters.AddWithValue("slot", slot);Ce code échouera. Au lieu de cela, vous devez créer dynamiquement la requête au moment de l'exécution, en garantissant la liste blanche appropriée des entrées pour empêcher les attaques par injection :
// Verify that "slot" is an approved/expected value
SqlCommand command = new SqlCommand("SELECT [" + slot + "] FROM Users WHERE name=@name; ")
prikaz.Parameters.AddWithValue("name", name);Dans cette approche, @name reste paramétré, permettant une exécution sûre et efficace de la requête. .
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Qu'est-ce qu'un hébergeur virtuel sans inscription ?
La différence entre le câble de console et le câble réseau
Quel logiciel est cdr
Quelles sont les commandes de nettoyage de disque ?
Touche de raccourci de veille
qu'est-ce que l'index
Pourquoi Webstorm ne peut pas exécuter le fichier
Comment ouvrir un fichier rar
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
