Puis-je paramétrer les noms de tables dans les requêtes .NET/SQL ?

Les noms de tables peuvent-ils être paramétrés dans .NET/SQL ?

Malgré la possibilité de paramétrer les valeurs à l'aide de command.Parameters.AddWithValue("whatever ", peu importe) avec @whatever comme paramètre dans la requête, les utilisateurs recherchent parfois la possibilité de faire de même avec d'autres composants de requête, comme une colonne et une table. noms. Bien que ce ne soit pas une situation idéale, cela peut être nécessaire en raison de contraintes externes.

Cependant, le paramétrage direct des noms de table n'est pas possible. Une approche indirecte implique l'utilisation de sp_ExecuteSQL, mais une solution alternative consisterait à construire l'instruction TSQL (paramétrée à l'exception de la concaténation des noms de table) en C# et à l'envoyer sous forme de commande. Cette approche fournit des mesures de sécurité similaires à celles du paramétrage direct.

Pour garantir la sécurité, il est crucial de mettre le nom de la table sur liste blanche afin d'empêcher les acteurs malveillants d'exploiter le système.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!