C# SqlCommand - nie można użyć parametrów dla nazw kolumn, jak rozwiązać?

Question

Czy jest jakiś sposób, jak to zrobić? To nie działa:

SqlCommand command = new SqlCommand("SELECT @slot FROM Users WHERE name=@name; "); 
prikaz.Parameters.AddWithValue("name", name); 
prikaz.Parameters.AddWithValue("slot", slot); 

Jedyne co mogę myśleć to użycie SP i zadeklarować i ustawić zmienną dla kolumny. Wydaje mi się nieco przecząca.

Answer 1

Nie można tego zrobić w regularnych SQL - jeśli trzeba mieć konfigurowalne nazwy kolumn (lub nazwę tabeli, dla tej sprawy), należy użyć dynamicznego SQL - nie ma innego sposobu, aby to osiągnąć.

string sqlCommandStatement = 
    string.Format("SELECT {0} FROM dbo.Users WHERE name=@name", "slot"); 

a następnie użyć sp_executesql proc przechowywanej w SQL Server do wykonania tego polecenia SQL (i określić inne parametry w zależności od potrzeb).

Dynamiczny SQL ma swoje zalety i wady - przeczytaj ostateczny artykuł na temat The Curse and Blessings of Dynamic SQL fachowo napisany przez SQL Server MVP Erland Sommarskog.

Answer 2

Jak już wspomniano, nie można parametryzacji fundamentalną zapytanie, więc trzeba będzie zbudować kwerendę siebie na starcie. Należy biało-lista wejście tego, aby zapobiec atakom wtrysku, ale fundamentalnie:

// TODO: verify that "slot" is an approved/expected value 
SqlCommand command = new SqlCommand("SELECT [" + slot + 
      "] FROM Users WHERE name=@name; ") 
prikaz.Parameters.AddWithValue("name", name); 

ten sposób @name nadal parametryzowane itp