Npgsql CREATE USER 使用 ExcuteNonQuery 参数
[英]Npgsql CREATE USER using ExcuteNonQuery parameter
问题描述
您好我正在尝试将SQL CREATE USER与NpgsqlParameter一起使用(以防止sql 注入):
var p = new NpgsqlParameter("p1", "testuser");
using (var cmd = new NpgsqlCommand("CREATE USER @p1", (NpgsqlConnection)sqlConn))
{
cmd.Parameters.Add(p)
cmd.ExecuteNonQuery();
}
我收到运行时错误
$1 或附近的语法错误
谁能帮帮我吗?
1 个解决方案
解决方案1
1 已采纳 2022-12-15 16:26:31
las,您不能将绑定变量与CREATE USER一起使用。 要防止 sql 注入,请使用引号: "me; delete from myTable" -> "'me; delete from myTable'" :
string userName = ...
using (var cmd = new NpgsqlCommand(
$"CREATE USER '{userName.Repace("'", "''")}'",
(NpgsqlConnection)sqlConn)) {
cmd.ExecuteNonQuery();
}
在这里,我们将userName中的每个撇号加倍,然后将更改后的名称包装到撇号中
使用 Npgsql 和 EF Core 3.1 为每个用户选择最后的订单
[英]Selecting last orders for each user using Npgsql and EF Core 3.1
使用Entity Framework Core,npgsql,PostgreSQL创建新数据库
[英]Create new database using Entity Framework Core, npgsql, PostgreSQL
无法首先使用Npgsql和Entity Framework代码在PostreSQL中创建数据库
[英]Unable to create database in PostreSQL using Npgsql and Entity Framework code first
使用npgsql创建具有区分大小写的名称的PostgreSQL数据库
[英]Create PostgreSQL Database with case-sensitive name using npgsql
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.