如何在帶有列名的SQL查詢中使用參數
[英]How to use parameters in SQL query with column name
問題描述
我有以下SQL查詢,該查詢從文件獲取標頭並創建與標頭同名的列:
SqlCommand createtable = new SqlCommand("CREATE TABLE " + tbXLSTableName.Text + " (" + dc.ColumnName + " varchar(MAX))", myConnection);
它對SQL注入攻擊開放,因此我決定使用如下參數:
string strCreateTable = "CREATE TABLE @TableNameCreateXLS (" + dc.ColumnName + " varchar(MAX))";
SqlCommand createtable = new SqlCommand(strCreateTable, myConnection);
createtable.Parameters.AddWithValue("TableNameCreateXLS", tbXLSTableName.Text);
dc是一個DataColumn對象。
我收到以下錯誤:
Incorrect syntax near @TableNameCreateXLS
我該如何解決該錯誤?
3 個解決方案
解決方案1
5 已采納 2014-06-20 15:57:55
您不能對表名和列名使用參數,但是可以使用SqlCommandBuilder.QuoteIdentifier方法對它們的值進行轉義。 喜歡:
SqlCommandBuilder sqlBuilder = new SqlCommandBuilder();
string columnName = dc.ColumnName;//"somecolumn"
string TableNameCreateXLS = "someTable";
string escapedColumnName = sqlBuilder.QuoteIdentifier(columnName);
string escpaedTableName = sqlBuilder.QuoteIdentifier(TableNameCreateXLS);
string strCreateTable = string.Format("CREATE TABLE {0} ({1} varchar(MAX))",escpaedTableName, escapedColumnName);
解決方案2
2 2014-06-20 15:51:46
不幸的是,您不能使用參數作為表名。 我通常會在人們要查詢動態表時看到此操作,在這種情況下,我說安全的做法是使用參數查詢表名表,但對您而言不起作用。
因此,除了自己清理輸入的表名之外,我認為您沒有任何SQL安全方法可以安全地執行此操作。 如果像這樣不可避免地動態創建表,那么至少要確保對第一個表進行清理。
解決方案3
0 2014-06-20 15:51:04
使用它,看看是否可行:
createtable.Parameters.AddWithValue("@TableNameCreateXLS", tbXLSTableName.Text);
將查詢中的動態表名和列名作為 ado.net 中的 sql 參數傳遞
[英]Pass dynamic table name and column name in query as sql parameters in ado.net
如何使用 sql 查詢命令中方法輸入中退出的參數?
[英]how to use the parameters exited in a method input in sql query commands?
如何在C#中使用帶有動態參數的INSERT INTO SQL查詢?
[英]How to use a INSERT INTO SQL Query with Dynamic parameters in C#?
如何使用SQL查詢直接將表列ID過濾為相應的名稱
[英]how to filter table column id into corresponding name directly with a sql query
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.