C# SqlCommand는 저장 프로시저 없이 열 이름을 매개 변수화할 수 있습니까?

SqlCommand의 매개 변수: 열 이름 매개 변수화의 대안

C#에서 저장 프로시저가 동적 열 이름 매개 변수화에 항상 적합한 솔루션은 아닙니다. 질문이 생깁니다. 저장 프로시저를 사용하지 않고도 이 작업을 수행할 수 있습니까?

짧은 대답은 '아니요'입니다. SqlCommand는 열 이름에 대한 매개 변수화를 지원하지 않습니다. 그러나 런타임에 쿼리를 동적으로 구성할 수 있습니다.

삽입 공격을 방지하려면 입력 열 이름(이 경우 "슬롯")이 승인되고 예상되는지 확인하는 것이 중요합니다. 이를 염두에 두고 다음과 같이 쿼리를 작성할 수 있습니다.

// TODO: verify that "slot" is an approved/expected value
SqlCommand command = new SqlCommand("SELECT [" + slot +
           "] FROM Users WHERE name=@name; ")
prikaz.Parameters.AddWithValue("name", name);

이 방법을 사용하면 지정된 열 이름을 기반으로 쿼리를 동적으로 구성하면서 "@name"과 같은 입력 값을 매개변수화할 수 있습니다.

위 내용은 C# SqlCommand는 저장 프로시저 없이 열 이름을 매개 변수화할 수 있습니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!