sql >> Databasteknik >  >> RDS >> Sqlserver

Är det möjligt att fråga ett användarspecificerat kolumnnamn utan att använda dynamisk SQL?

Tyvärr kan tabellnamn, kolumnnamn inte parametriseras. Eftersom du känner till tabellens struktur kan du ha en vitlista med möjliga kolumnnamn i den här parametern och sedan använda strängsammansättning för att undvika SQL-injektion:

"WHERE " + Sanitize(column) + " = @Value");


  1. MySql localhost vs Amazon RDS-instans

  2. Mysql Välj endast procentandel av rader

  3. Hur kontrollerar man privilegierna (DDL,DML,DCL) på objekt som tilldelats Schema, Roller i Oracle Database?

  4. MICROSECOND() Exempel – MySQL