.NET/SQL クエリでテーブル名をパラメータ化できますか?

.NET/SQL でテーブル名をパラメータ化できますか?

command.Parameters.AddWithValue("whatever) を使用して値をパラメータ化できるにもかかわらず、 "、何でも) @whatever をクエリのパラメーターとして使用すると、ユーザーは列や列などの他のクエリ コンポーネントでも同じことを実行できる機能を求める場合があります。テーブル名。これは理想的な状況ではありませんが、外部制約により必要になる場合があります。

ただし、テーブル名の直接パラメータ化はできません。間接的なアプローチには sp_ExecuteSQL の使用が含まれますが、別の解決策は、C# で TSQL ステートメント (テーブル名の連結を除いてパラメーター化) を構築し、それをコマンドとして送信することです。このアプローチでは、直接パラメータ化と同様のセキュリティ対策が提供されます。

セキュリティを確保するには、テーブル名をホワイトリストに登録し、悪意のある攻撃者によるシステムの悪用を防ぐことが重要です。

以上が.NET/SQL クエリでテーブル名をパラメータ化できますか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。