특정 시나리오에서 개발자는 값뿐만 아니라 SQL 쿼리의 다른 부분도 매개 변수화하기를 원할 수 있습니다. 테이블 이름 등. 테이블 이름을 직접 매개 변수화하는 것은 불가능하지만 이를 달성하는 간접적인 방법이 있습니다.
한 가지 접근 방식은 sp_ExecuteSQL 저장 프로시저를 활용하여 동적 SQL 문을 실행할 수 있도록 하는 것입니다. . 개발자는 C# 내에서 쿼리를 구성하고 테이블 이름을 문자열로 연결하여 이 매개변수화된 쿼리를 데이터베이스에 보낼 수 있습니다.
또는 개발자가 수동으로 빌드할 수도 있습니다. C# 내의 매개변수화된 TSQL. 여기에는 테이블 이름을 쿼리의 나머지 부분과 연결하여 명령으로 보내는 작업이 포함됩니다. 악의적인 입력을 방지하려면 테이블 이름을 화이트리스트에 추가하는 것이 중요합니다.
개발자가 코드의 유일한 사용자이더라도 매개 변수화 접근 방식이 상당한 이점을 제공하지 않는다는 점에 유의하는 것이 여전히 중요합니다. 보안 증가. 모범 사례는 호출 사용자 또는 애플리케이션에게 테이블에 대한 특정 SELECT 권한을 부여하는 것입니다.
sp_ExecuteSQL을 사용하여 테이블 이름을 간접적으로 매개 변수화하는 예:
string tableName = "Employee";
string sql = "SELECT * FROM " + tableName + " WHERE Id = @Id";
using (SqlConnection connection = new SqlConnection(connectionString))
{
using (SqlCommand command = connection.CreateCommand())
{
command.CommandText = sql;
command.Parameters.AddWithValue("@Id", id);
SqlDataReader reader = command.ExecuteReader();
}
}In 이 예에서는 테이블 이름이 명령 텍스트 내에서 문자열로 연결됩니다.
위 내용은 .NET을 사용하여 SQL Server 쿼리에서 테이블 이름을 간접적으로 매개 변수화하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
