Kann ich Tabellennamen in .NET/SQL-Abfragen parametrisieren?

Können Tabellennamen in .NET/SQL parametrisiert werden?

Obwohl Werte mit command.Parameters.AddWithValue("whatever ", was auch immer) mit @whatever als Parameter in der Abfrage möchten Benutzer manchmal die Möglichkeit haben, dasselbe mit anderen Abfragekomponenten wie Spalten- und Tabellennamen zu tun. Obwohl dies keine ideale Situation ist, kann es aufgrund externer Einschränkungen erforderlich sein.

Eine direkte Parametrisierung von Tabellennamen ist jedoch nicht möglich. Ein indirekter Ansatz beinhaltet die Verwendung von sp_ExecuteSQL. Eine alternative Lösung wäre jedoch, die TSQL-Anweisung (parametrisiert mit Ausnahme der Tabellennamenverkettung) in C# zu erstellen und als Befehl zu senden. Dieser Ansatz bietet ähnliche Sicherheitsmaßnahmen wie die direkte Parametrisierung.

Um die Sicherheit zu gewährleisten, ist es wichtig, den Tabellennamen auf die Whitelist zu setzen, um zu verhindern, dass böswillige Akteure das System ausnutzen.

Das obige ist der detaillierte Inhalt vonKann ich Tabellennamen in .NET/SQL-Abfragen parametrisieren?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!