Memparameterkan Nama Lajur dalam SqlCommand
Pertanyaan berparameter adalah penting untuk mencegah serangan suntikan SQL dan memastikan keselamatan operasi pangkalan data anda. Walau bagaimanapun, C# SqlCommand menimbulkan cabaran yang pelik apabila ia berkaitan dengan parameter nama lajur. Sintaks yang dibentangkan dalam soalan asal menghasilkan ralat, kerana SqlCommand tidak menyokong parameterisasi nama lajur secara asli.
Untuk menangani perkara ini, adalah disyorkan untuk membina pertanyaan secara dinamik pada masa jalan. Ini melibatkan penggabungan nama lajur dengan pertanyaan yang lain. Walaupun ini mungkin kelihatan menyusahkan, adalah penting untuk mengurangkan risiko keselamatan:
// IMPORTANT: Ensure "slot" is validated against a whitelist to prevent injection attacks
SqlCommand command = new SqlCommand("SELECT [" + slot +
"] FROM Users WHERE name=@name; ")
prikaz.Parameters.AddWithValue("name", name);Dengan membina pertanyaan secara dinamik, anda boleh membuat parameter nama lajur dengan berkesan. Ingat untuk mengutamakan keselamatan dengan menyenarai putih atau mengesahkan semua input pengguna untuk mengelakkan potensi kelemahan.
Atas ialah kandungan terperinci Bagaimanakah Saya Boleh Parameter Nama Lajur dalam C# SqlCommand?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
403penyelesaian terlarang
penggunaan fungsi satu
Bagaimana untuk menyelesaikan masalah kehilangan ssleay32.dll
Bagaimana untuk memulihkan pelayar IE untuk melompat ke EDGE secara automatik
Bagaimana untuk mengosongkan ruang dokumen awan WPS apabila ia penuh?
Penggunaan kata kunci Jenis dalam Go
Bagaimana untuk memasang wordpress selepas memuat turunnya
Bagaimana untuk menyelesaikan tamat masa
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
