.NET/SQL 쿼리에서 테이블 이름을 매개변수화할 수 있습니까?

.NET/SQL에서 테이블 이름을 매개변수화할 수 있습니까?

command.Parameters.AddWithValue("whatever를 사용하여 값을 매개변수화할 수 있음에도 불구하고) ", 뭐든지) @whatever를 쿼리의 매개변수로 사용하면 사용자는 때때로 열 및 테이블 이름. 이상적인 상황은 아니지만 외부 제약으로 인해 필요할 수도 있습니다.

단, 테이블 이름을 직접 매개변수화하는 것은 불가능합니다. 간접적인 접근 방식에는 sp_ExecuteSQL을 사용하는 것이 포함되지만 대체 솔루션은 C#에서 TSQL 문(테이블 이름 연결을 제외하고 매개 변수화됨)을 구성하고 이를 명령으로 보내는 것입니다. 이 접근 방식은 직접 매개변수화와 유사한 보안 조치를 제공합니다.

보안을 보장하려면 악의적인 행위자가 시스템을 악용하지 못하도록 테이블 이름을 화이트리스트에 추가하는 것이 중요합니다.

위 내용은 .NET/SQL 쿼리에서 테이블 이름을 매개변수화할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!