如何解决在.net中使用SqlCommand通过参数修改数据库
我必须根据某些输入动态修改 SQL Server 数据库。我想做的是生成修改命令然后执行它们。而且,为了避免 SQL 注入,我想使用参数。但它不起作用。
这是我的 PoC 代码片段(只是一个粗略的事情):
public static void ModifyDatabase(string name)
{
string connectionString = "Server=localhost; Database=DEV_Tests; Integrated Security=True;";
var sqlCommand = "CREATE SCHEMA @schemaname";
using (var connection = new SqlConnection(connectionString))
using (var command = new SqlCommand(sqlCommand,connection))
{
connection.Open();
command.Parameters.AddWithValue("@schemaname",name);
command.ExecuteNonQuery();
connection.Close();
}
}
这会引发语法错误。但是这个有效:
public static void ModifyDatabase()
{
string connectionString = "Server=localhost; Database=DEV_Tests; Integrated Security=True;";
var sqlCommand = "CREATE SCHEMA AAAA";
using (var connection = new SqlConnection(connectionString))
using (var command = new SqlCommand(sqlCommand,connection))
{
connection.Open();
command.ExecuteNonQuery();
connection.Close();
}
}
所以,或者我做错了什么(可能是),或者我不能在“创建模式”中使用参数。事实上,在第二个(没有参数的那个)中,如果我添加一个参数而不使用它,也会失败。是这样吗?如果我们不能在这里使用参数,那么净化输入的最佳方法是什么?修剪它并删除冲突的参数?
谢谢。
解决方法
您不能在 CREATE
语句中使用参数。而是使用 QUOTENAME
和 sp_executesql
动态执行它:
DECLARE @sql nvarchar(max) = N'CREATE SCHEMA ' + QUOTENAME(@schema);
EXEC sp_executesql @sql;
如果您有任何其他可以在查询中使用的参数,那么您也可以将其传递给 sp_executesql
。
您应该将架构名称作为 nvarchar(128)
传递,这与 sysname
相同:
command.Parameters.Add("@schemaname",SqlDbType.NVarChar,128).Value = name;
另一个小技巧:为避免养成串联/注入 SQL 的习惯,我总是将查询变量声明为 const string query
。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。