SQL 삽입을 방지하면서 C# SqlCommand 쿼리에서 열 이름을 동적으로 지정하려면 어떻게 해야 합니까?

C# SqlCommand의 열 이름에 대한 동적 쿼리 조정

SqlCommand 개체에서 매개 변수를 사용하여 열 이름을 지정하려고 하면 다음과 같은 문제가 발생할 수 있습니다. 열 이름에 매개변수를 사용할 수 없다는 오류가 발생했습니다. 이러한 제한으로 인해 열 이름이 다를 수 있는 쿼리를 실행하려고 할 때 문제가 발생합니다.

문제:

SqlCommand command = new SqlCommand("SELECT @slot FROM Users WHERE name=@name; ");
prikaz.Parameters.AddWithValue("name", name);
prikaz.Parameters.AddWithValue("slot", slot);

위 코드는 동적 열을 사용하여 쿼리를 실행하려고 시도합니다. 매개변수를 사용하여 이름을 지정했지만 앞서 언급한 오류로 인해 실패합니다. 제안된 잠재적인 해결 방법은 열 이름에 대한 변수 선언과 함께 저장 프로시저(SP)를 사용하는 것입니다. 그러나 이 접근 방식은 번거로울 수 있습니다.

해결책:

열 이름을 매개변수화하는 대신 런타임에 동적으로 쿼리를 작성할 수 있습니다. 보안을 보장하려면 주입 공격을 방지하기 위해 입력을 화이트리스트에 추가해야 합니다. 이를 달성하는 방법의 예는 다음과 같습니다.

// TODO: verify that "slot" is an approved/expected value
SqlCommand command = new SqlCommand("SELECT [" + slot + "] FROM Users WHERE name=@name; ")
prikaz.Parameters.AddWithValue("name", name);

이 코드에서 "slot" 값은 런타임 중에 쿼리 문자열을 작성하는 데 사용됩니다. 매개변수 "name"은 여전히 ​​SQL 주입을 방지하기 위해 매개변수를 사용하여 지정됩니다. 쿼리를 동적으로 구성하면 SqlCommand에서 열 이름에 매개 변수를 사용하는 제한을 극복할 수 있습니다.

위 내용은 SQL 삽입을 방지하면서 C# SqlCommand 쿼리에서 열 이름을 동적으로 지정하려면 어떻게 해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!