Sqlserver
 sql >> Cơ Sở Dữ Liệu >  >> RDS >> Sqlserver

C # SqlCommand - không thể sử dụng tham số cho tên cột, làm thế nào để giải quyết?

Như đã được đề cập, bạn không thể tham số hóa truy vấn cơ bản, vì vậy bạn sẽ phải tự tạo truy vấn trong thời gian chạy. Bạn nên danh sách trắng đầu vào của điều này, để ngăn chặn các cuộc tấn công tiêm, nhưng về cơ bản:

// TODO: verify that "slot" is an approved/expected value
SqlCommand command = new SqlCommand("SELECT [" + slot +
           "] FROM Users WHERE [email protected]; ")
prikaz.Parameters.AddWithValue("name", name);

Bằng cách này @name vẫn được tham số hóa, v.v.



  1. Database
    2.   
  2. Mysql
    3.   
  3. Oracle
    4.   
  4. Sqlserver
    5.   
  5. PostgreSQL
    6.   
  6. Access
    7.   
  7. SQLite
    8.   
  8. MariaDB

  1. Nhận số phần trăm của một bản ghi trong một truy vấn duy nhất

  2. Làm cách nào để bạn tạo trường boolean có / không trong máy chủ SQL?

  3. Thả khóa chính bằng cách sử dụng tập lệnh trong cơ sở dữ liệu SQL Server

  4. Cách hiển thị thanh tiến trình trong khi thực thi VB.Net SQLCommand lớn

  5. Kiểm tra xem một ngày nhất định có phù hợp với một phạm vi ngày không