如何在 C# SqlCommand 查询中动态指定列名，同时防止 SQL 注入？

C# SqlCommand 中列名称的动态查询调整

尝试使用 SqlCommand 对象中的参数指定列名称时，您可能会遇到错误指出参数不能用于列名。当尝试执行列名称可能不同的查询时，此限制带来了挑战。

问题：

SqlCommand command = new SqlCommand("SELECT @slot FROM Users WHERE name=@name; ");
prikaz.Parameters.AddWithValue("name", name);
prikaz.Parameters.AddWithValue("slot", slot);

上述代码尝试使用动态列执行查询使用参数命名，但由于上述错误而失败。建议的一个潜在解决方法是使用带有列名变量声明的存储过程 (SP)。但是，这种方法可能很麻烦。

解决方案：

您可以在运行时动态构建查询，而不是参数化列名称。为了保证安全，您应该将输入列入白名单，以防止注入攻击。以下是如何实现此目的的示例：

// TODO: verify that "slot" is an approved/expected value
SqlCommand command = new SqlCommand("SELECT [" + slot + "] FROM Users WHERE name=@name; ")
prikaz.Parameters.AddWithValue("name", name);

在此代码中，“slot”的值用于在运行时构建查询字符串。参数“name”仍然使用参数来指定，以防止SQL注入。通过动态构造查询，您可以克服在 SqlCommand 中使用列名参数的限制。

以上是如何在 C# SqlCommand 查询中动态指定列名，同时防止 SQL 注入？的详细内容。更多信息请关注PHP中文网其他相关文章！