C# SqlCommand 中列名称的动态查询调整
尝试使用 SqlCommand 对象中的参数指定列名称时,您可能会遇到错误指出参数不能用于列名。当尝试执行列名称可能不同的查询时,此限制带来了挑战。
问题:
SqlCommand command = new SqlCommand("SELECT @slot FROM Users WHERE name=@name; ");
prikaz.Parameters.AddWithValue("name", name);
prikaz.Parameters.AddWithValue("slot", slot);上述代码尝试使用动态列执行查询使用参数命名,但由于上述错误而失败。建议的一个潜在解决方法是使用带有列名变量声明的存储过程 (SP)。但是,这种方法可能很麻烦。
解决方案:
您可以在运行时动态构建查询,而不是参数化列名称。为了保证安全,您应该将输入列入白名单,以防止注入攻击。以下是如何实现此目的的示例:
// TODO: verify that "slot" is an approved/expected value
SqlCommand command = new SqlCommand("SELECT [" + slot + "] FROM Users WHERE name=@name; ")
prikaz.Parameters.AddWithValue("name", name);在此代码中,“slot”的值用于在运行时构建查询字符串。参数“name”仍然使用参数来指定,以防止SQL注入。通过动态构造查询,您可以克服在 SqlCommand 中使用列名参数的限制。
以上是如何在 C# SqlCommand 查询中动态指定列名,同时防止 SQL 注入?的详细内容。更多信息请关注PHP中文网其他相关文章!
