能否在 .NET/SQL 中对表名称进行参数化以获得干净、安全的代码？

在 SQL 中参数化表名？

问题：

是否可以传递表.NET/SQL 中的名称作为参数？最终目标是在不影响安全性的情况下增强整洁性并避免混乱的代码。

答案：

不支持直接参数化表名称。但是，您可以使用 sp_ExecuteSQL 间接实现此目的：

SqlConnection conn = new SqlConnection("Your database connection string");
DataTable dt = new DataTable();

using (SqlCommand cmd = conn.CreateCommand())
{
    cmd.CommandType = CommandType.StoredProcedure;
    cmd.CommandText = "sp_ExecuteSQL";

    cmd.Parameters.AddWithValue("@stmt","SELECT * FROM table");

    using (SqlDataAdapter da = new SqlDataAdapter(cmd))
    {
        da.Fill(dt);
    }
}

或者，您可以在 C# 中构造（参数化）SQL 语句，附加表名称，并将其作为命令执行：

var name = ...; //Determine table name dynamically here
var sql = $"SELECT * FROM {"table"}";
using (SqlCommand cmd = new SqlCommand(sql, conn))
{
    cmd.Parameters.Add("", ...);
    var result = cmd.ExecuteReader();
    ...
}

记住将表名列入白名单，以防止潜在的安全漏洞。

以上是能否在 .NET/SQL 中对表名称进行参数化以获得干净、安全的代码？的详细内容。更多信息请关注PHP中文网其他相关文章！