我可以在 .NET/SQL 查詢中參數化表格名稱嗎？

表名稱可以在 .NET/SQL 中參數化嗎？

儘管可以使用command.Parameters.AddWithValue("whatever 參數化值) “，無論如何）使用@whatever 作為查詢中的參數，用戶有時會尋求對其他查詢組件執行相同操作的能力，例如列和表名。雖然這不是理想的情況，但由於外部限制，這可能是必要的。

但是，表名稱的直接參數化是不可能的。間接方法涉及使用 sp_ExecuteSQL，但另一種解決方案是在 C# 中建構 TSQL 語句（除了表名串聯之外的參數化）並將其作為命令發送。這種方法提供了與直接參數化類似的安全措施。

為了確保安全，將表名列入白名單以防止惡意行為者利用系統至關重要。

以上是我可以在 .NET/SQL 查詢中參數化表格名稱嗎？的詳細內容。更多資訊請關注PHP中文網其他相關文章！