首頁 >資料庫 >mysql教程 >C# SqlCommand 可以在沒有預存程序的情況下參數化列名嗎?

C# SqlCommand 可以在沒有預存程序的情況下參數化列名嗎?

Susan Sarandon
Susan Sarandon原創
2024-12-21 14:29:10250瀏覽

Can C# SqlCommand Parameterize Column Names Without Stored Procedures?

SqlCommand 中的參數:列名稱參數化的替代方案

在C# 中,預存程序並不總是動態列名稱參數化所需的解決方案。問題出現了:我們可以在不借助預存程序的情況下完成此任務嗎?

簡短的答案是否定的。 SqlCommand 不支援列名參數化。但是,我們可以在運行時動態建立查詢。

為了防止注入攻擊,驗證輸入列名稱(在本例中為「槽」)是否得到批准和預期至關重要。考慮到這一點,我們可以如下建立查詢:

// TODO: verify that "slot" is an approved/expected value
SqlCommand command = new SqlCommand("SELECT [" + slot +
           "] FROM Users WHERE name=@name; ")
prikaz.Parameters.AddWithValue("name", name);

此方法允許我們參數化「@name」等輸入值,同時根據指定的列名稱動態建立查詢。

以上是C# SqlCommand 可以在沒有預存程序的情況下參數化列名嗎?的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn