Bolehkah Nama Lajur Menjadi Parameter dalam C# Dynamic SQL?-tutorial mysql-php.cn

Bolehkah Nama Lajur Menjadi Parameter dalam C# Dynamic SQL?

Patricia Arquette

Lepaskan： 2024-12-31 08:25:09

asal

185 orang telah melayarinya

Can Column Names Be Parameters in C# Dynamic SQL?

SQL Dinamik dengan Parameter Nama Lajur dalam C#

Bolehkah anda memasukkan nama lajur sebagai parameter dalam pertanyaan SqlCommand? Jawapannya biasanya "tidak." Sebabnya ialah enjin pangkalan data memproses pelan pertanyaan apabila sambungan dibuka dan sebelum anda menetapkan sebarang parameter. Walau bagaimanapun, terdapat beberapa teknik yang boleh anda manfaatkan untuk mencapai hasil yang diingini.

Mari kita pertimbangkan senario ini:

SqlCommand command = new SqlCommand("SELECT @slot FROM Users WHERE name=@name; ");
prikaz.Parameters.AddWithValue("name", name);
prikaz.Parameters.AddWithValue("slot", slot);

Salin selepas log masuk

Kod ini akan gagal. Sebaliknya, anda perlu membina pertanyaan secara dinamik pada masa jalan, memastikan penyenaraian putih yang betul bagi input untuk mengelakkan serangan suntikan:

// Verify that "slot" is an approved/expected value
SqlCommand command = new SqlCommand("SELECT [" + slot + "] FROM Users WHERE name=@name; ")
prikaz.Parameters.AddWithValue("name", name);

Salin selepas log masuk

Dalam pendekatan ini, @name kekal berparameter, membolehkan pelaksanaan pertanyaan yang selamat dan cekap .

Atas ialah kandungan terperinci Bolehkah Nama Lajur Menjadi Parameter dalam C# Dynamic SQL?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!