将表名作为参数传递给Dapper

Question

将表名作为参数传递给Dapper

是否可以将表名作为参数传递给Dapper Query命令？我不是在寻找SQL表定义的函数或SQL表变量.我想在C#中定义表名并将其传递给Dapper.这是我的代码,执行时返回错误Must declare the table variable "@TableName"

var foo = conn.Query("SELECT * FROM @TableName WHERE Id = @Id", new { TableName = "MyTable", Id = 123 });

Run Code Online (Sandbox Code Playgroud)

Answer 1

Mar*_*ell 20

SQL不支持参数化表名,而dapper是一个非常非常薄的SQL包装器 - 所以:不.

但是,您可以使用string.format:

string sql = string.Format("... from [{0}] ...", table name);

Run Code Online (Sandbox Code Playgroud)

请注意,即使使用[/],这也存在固有的SQL注入风险.

谢谢马克。我感谢您的输入，我目前正在按照您对 string.format 的建议进行操作。我也意识到注入风险，但这是针对我们控制的内部脚本，没有机会进行未知输入。 (3认同)

Answer 2

use*_*657 5

您可以先检查表是否存在，以防止 Sql 注入：

string tableNameExistsCheck = "SELECT count(1) FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_NAME = @tableName";

if (c.QuerySingle<int>(tableNameExistsCheck, new { tableName }) == 1)
{
    string sql = string.Format("... from [{0}] ...", tableName);
    var result = c.Query(sql);                    
}

Run Code Online (Sandbox Code Playgroud)

归档时间：	11 年，10 月前
查看次数：	3549 次
最近记录：	7 年，1 月前