Les noms de colonnes peuvent-ils être des paramètres dans C# Dynamic SQL ?

SQL dynamique avec paramètres de nom de colonne en C#

Pouvez-vous inclure des noms de colonnes en tant que paramètres dans une requête SqlCommand ? La réponse est normalement « non ». La raison en est que le moteur de base de données traite le plan de requête lorsque la connexion s'ouvre et avant que vous ayez défini des paramètres. Cependant, il existe certaines techniques que vous pouvez exploiter pour obtenir le résultat souhaité.

Considérons ce scénario :

SqlCommand command = new SqlCommand("SELECT @slot FROM Users WHERE name=@name; ");
prikaz.Parameters.AddWithValue("name", name);
prikaz.Parameters.AddWithValue("slot", slot);

Ce code échouera. Au lieu de cela, vous devez créer dynamiquement la requête au moment de l'exécution, en garantissant la liste blanche appropriée des entrées pour empêcher les attaques par injection :

// Verify that "slot" is an approved/expected value
SqlCommand command = new SqlCommand("SELECT [" + slot + "] FROM Users WHERE name=@name; ")
prikaz.Parameters.AddWithValue("name", name);

Dans cette approche, @name reste paramétré, permettant une exécution sûre et efficace de la requête. .

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!