sql >> Databasteknik >  >> RDS >> Sqlserver

C# SqlCommand - kan inte använda parametrar för kolumnnamn, hur löser man det?

Som har nämnts kan du inte parametrisera den grundläggande frågan, så du måste bygga själva frågan vid körning. Du bör vitlista input av detta, för att förhindra injektionsattacker, men i grunden:

// TODO: verify that "slot" is an approved/expected value
SqlCommand command = new SqlCommand("SELECT [" + slot +
           "] FROM Users WHERE [email protected]; ")
prikaz.Parameters.AddWithValue("name", name);

På så sätt @name är fortfarande parametriserad etc.



  1. Problem med att visa frågeresultat

  2. Det går inte att inaktivera skyddet för sessionstillstånd på Oracle APEX 18.1.0.00.45 för dynamiska åtgärder som uppdaterar sidobjekt

  3. PHP OCI, Oracle och standardnummerformat

  4. Hur kan jag infoga kolumnkommentarer i PostgreSQL via Python?