SqlCommand 中的參數:列名稱參數化的替代方案
在C# 中,預存程序並不總是動態列名稱參數化所需的解決方案。問題出現了:我們可以在不借助預存程序的情況下完成此任務嗎?
簡短的答案是否定的。 SqlCommand 不支援列名參數化。但是,我們可以在運行時動態建立查詢。
為了防止注入攻擊,驗證輸入列名稱(在本例中為「槽」)是否得到批准和預期至關重要。考慮到這一點,我們可以如下建立查詢:
// TODO: verify that "slot" is an approved/expected value SqlCommand command = new SqlCommand("SELECT [" + slot + "] FROM Users WHERE name=@name; ") prikaz.Parameters.AddWithValue("name", name);
此方法允許我們參數化「@name」等輸入值,同時根據指定的列名稱動態建立查詢。
以上是C# SqlCommand 可以在沒有預存程序的情況下參數化列名嗎?的詳細內容。更多資訊請關注PHP中文網其他相關文章!