可以使用 .NET 在 SQL 查詢中對錶名稱進行參數化嗎？

可以使用 .NET 在 SQL 中對錶名稱進行參數化嗎？

在使用 SQL Server 的 .NET 應用程式中，通常希望透過表名作為查詢中的參數以增強程式碼清晰度。雖然使用 AddWithValue 參數化值很簡單，但對錶名執行相同的操作會帶來獨特的挑戰。

與值參數不同，表名不能直接參數化。此限制是由於資料庫引擎建構和解釋 SQL 語句的方式所造成的。

透過 sp_ExecuteSQL 進行間接參數化

參數化表名稱的間接方法是使用預存程序 sp_ExecuteSQL。此程序允許動態執行 SQL 語句，並提供將表名作為文字參數傳遞的方法。然而，這種方法會帶來額外的複雜性，並且可能不適合所有場景。

替代解決方案：程式碼產生

更實用的替代方案是產生參數化 SQL 語句在程式碼中。這涉及將表名連接為查詢字串的一部分，並將整個字串作為參數化查詢傳遞。

string query = "SELECT * FROM " + tableName + " WHERE id = @id";

此方法可確保維護所需的安全模型，因為表名沒有直接參數化.

額外注意事項：白名單

確保作為參數傳遞的表名經過驗證並列入白名單，以防止潛在的安全漏洞。透過限制允許的表名集，您可以降低未經授權存取敏感資料的風險。

以上是可以使用 .NET 在 SQL 查詢中對錶名稱進行參數化嗎？的詳細內容。更多資訊請關注PHP中文網其他相關文章！