Bolehkah saya Parameterkan Nama Jadual dalam Pertanyaan .NET/SQL?

Bolehkah Nama Jadual Diparameterkan dalam .NET/SQL?

Walaupun dapat membuat parameter nilai menggunakan command.Parameters.AddWithValue("whatever ", whatever) dengan @whatever sebagai parameter dalam pertanyaan, pengguna kadangkala mencari keupayaan untuk melakukan perkara yang sama dengan komponen pertanyaan lain, seperti nama lajur dan jadual. Walaupun ini bukan situasi yang ideal, ia mungkin perlu disebabkan oleh kekangan luaran.

Walau bagaimanapun, parameterisasi langsung nama jadual tidak boleh dilakukan. Pendekatan tidak langsung melibatkan penggunaan sp_ExecuteSQL, tetapi penyelesaian alternatif ialah membina pernyataan TSQL (diparameterkan kecuali untuk gabungan nama jadual) dalam C# dan menghantarnya sebagai arahan. Pendekatan ini menyediakan langkah keselamatan yang serupa seperti parameterisasi langsung.

Untuk memastikan keselamatan, adalah penting untuk menyenarai putih nama jadual untuk mengelakkan pelakon yang berniat jahat daripada mengeksploitasi sistem.

Atas ialah kandungan terperinci Bolehkah saya Parameterkan Nama Jadual dalam Pertanyaan .NET/SQL?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!