C# 動的 SQL で列名をパラメータにすることはできますか?

C# の列名パラメータを使用した動的 SQL

SqlCommand クエリにパラメータとして列名を含めることはできますか?答えは通常「いいえ」です。その理由は、データベース エンジンは、接続が開かれたとき、パラメーターを設定する前にクエリ プランを処理するためです。ただし、望ましい結果を達成するために利用できるテクニックがいくつかあります。

次のシナリオを考えてみましょう:

SqlCommand command = new SqlCommand("SELECT @slot FROM Users WHERE name=@name; ");
prikaz.Parameters.AddWithValue("name", name);
prikaz.Parameters.AddWithValue("slot", slot);

このコードは失敗します。代わりに、実行時にクエリを動的に構築し、入力の適切なホワイトリストを確保してインジェクション攻撃を防ぐ必要があります。

// Verify that "slot" is an approved/expected value
SqlCommand command = new SqlCommand("SELECT [" + slot + "] FROM Users WHERE name=@name; ")
prikaz.Parameters.AddWithValue("name", name);

このアプローチでは、@name はパラメータ化されたままとなり、クエリの安全かつ効率的な実行が可能になります。 .

以上がC# 動的 SQL で列名をパラメータにすることはできますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。