MySQL表名称作为参数
我正在尝试进行设置,以便将表名作为参数传递给命令文本,但是我无法使其正常工作。我四处张望,发现了这样的问题:使用C#进行MySQL的参数化查询,但是我没有任何运气。
这是相关的代码(connection == MySqlConnection包含连接字符串):
public static DataSet getData(string table){
DataSet returnValue = new DataSet();
try
{
MySqlCommand cmd = connection.CreateCommand();
cmd.Parameters.AddWithValue("@param1", table);
cmd.CommandText = "SELECT * FROM @param1";
connection.Open();
MySqlDataAdapter adap = new MySqlDataAdapter(cmd);
adap.Fill(returnValue);
}
catch (Exception)
{
}
finally
{
if (connection.State == ConnectionState.Open)
connection.Close();
}
return returnValue;
}
如果我更改:
cmd.CommandText = "SELECT * FROM @param1";至:
cmd.CommandText = "SELECT * FROM " + table;作为一种测试方法,它是可行的(我正在将XML从数据集中写入控制台以进行检查)。因此,我很确定问题只是以错误的方式使用了参数功能。有指针吗?
另外,如果我记错了,请更正我,但是使用Parameter功能应该提供针对SQL注入的完全保护,对吗?
回答:
您 参数化表名,列名或任何其他数据库对象。您 只能 参数化您的值。
您需要在SQL查询中将其作为字符串串联传递,但是在此之前,我建议使用 强 验证或白名单(仅固定设置的 可能的 正确值)。
另外,如果我记错了,请更正我,但是使用Parameter功能应该提供针对SQL注入的完全保护,对吗?
如果用“参数功能”
表示参数化语句,是的,这是正确的。
顺便说一下,请注意,有一个称为动态SQL支持的概念,SELECT * FROM
@tablename但不建议这样做。
正如我们已经看到的,我们可以在动态SQL的帮助下使该过程正常工作,但是也应该清楚,在存储过程中生成该动态SQL并没有获得任何好处。您也可以从客户端发送动态SQL。因此,可以:1)如果SQL语句非常复杂,则可以节省一些网络流量并进行封装。2)如我们所见,从SQL
2005开始,有一些处理权限的方法。
。一个阵营似乎是对SQL编程不熟悉的人,但是他们从其他语言(例如C
++,VB等)中受益匪浅,其中参数化是一件好事。参数化表名称以实现通用代码并增加可维护性似乎是程序员的美德。
但是,就数据库对象而言,古老的真理并不成立。在适当的数据库设计中,每个表都是唯一的,因为它描述了唯一的实体。(或者至少应该如此!)当然,最后要得到一打或更多的查找表,这些查找表都有一个id,一个name列和一些审计列,这并不少见。但是它们确实描述了不同的实体,并且它们的相似之处仅应视为偶然,并且将来的要求可能会使表格更加不同。
以上是 MySQL表名称作为参数 的全部内容, 来源链接: utcz.com/qa/431798.html
