Bagaimanakah Saya Boleh Membina Pertanyaan SQL secara Dinamik dengan Nilai Parameter Apabila Nama Lajur Boleh Berubah?

Pembinaan Pertanyaan Dinamik disebabkan oleh SEKATAN PARAMETER

Semasa melaksanakan pertanyaan yang melibatkan nama lajur dinamik, pembangun mungkin menghadapi had bahawa nama lajur tidak boleh diparameterkan . Untuk mengelakkan isu ini, seseorang mesti membina pertanyaan secara dinamik pada masa jalan.

Pertimbangkan contoh tidak berfungsi berikut:

SqlCommand command = new SqlCommand("SELECT @slot FROM Users WHERE name=@name; ");
prikaz.Parameters.AddWithValue("name", name);
prikaz.Parameters.AddWithValue("slot", slot);

Sebagai alternatif, senarai putih input "slot" untuk mencegah serangan suntikan dan membina pertanyaan seperti berikut:

// TODO: verify that "slot" is an approved/expected value
SqlCommand command = new SqlCommand("SELECT [" + slot +
           "] FROM Users WHERE name=@name; ")
prikaz.Parameters.AddWithValue("name", name);

Pendekatan ini memastikan bahawa "@name" kekal berparameter, sambil mengendalikan nama lajur pembolehubah secara dinamik.

Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Membina Pertanyaan SQL secara Dinamik dengan Nilai Parameter Apabila Nama Lajur Boleh Berubah?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!