Création de requêtes dynamiques en raison de RESTRICTIONS DE PARAMÈTRES
Lors de l'exécution de requêtes impliquant des noms de colonnes dynamiques, les développeurs peuvent rencontrer la limitation selon laquelle les noms de colonnes ne peuvent pas être paramétrés . Pour contourner ce problème, il faut créer dynamiquement la requête au moment de l'exécution.
Considérons l'exemple non fonctionnel suivant :
SqlCommand command = new SqlCommand("SELECT @slot FROM Users WHERE name=@name; ");
prikaz.Parameters.AddWithValue("name", name);
prikaz.Parameters.AddWithValue("slot", slot);Au lieu de cela, ajoutez à la liste blanche l'entrée "slot" pour empêchez les attaques par injection et construisez la requête comme suit :
// TODO: verify that "slot" is an approved/expected value
SqlCommand command = new SqlCommand("SELECT [" + slot +
"] FROM Users WHERE name=@name; ")
prikaz.Parameters.AddWithValue("name", name);Cette approche garantit que "@name" reste paramétré, tout en gérant dynamiquement la colonne variable nom.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Résumé des connaissances de base de Java
Solution à l'erreur de socket 10054
Quelle plateforme est Fengxiangjia ?
La différence entre la version familiale Win10 et la version professionnelle
Introduction à l'utilisation de Rowid dans Oracle
Comment utiliser Python pour la boucle
Quel élément est li ?
Comment créer un projet HTML avec vscode
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
