那些遇到过的问题

MySqlParameter作为TableName

Ste*_*cya 2 c# mysql mysql-connector mysql-parameter

我想用来MySqlParameter将tableName传递给查询(以防止slq注入)

MySqlCommand cmd = new MySqlCommand("select * from @table"), cn)
cmd.Parameters.AddWithValue("@table",TableName);
Run Code Online (Sandbox Code Playgroud)

但这不起作用.如何将tableName作为参数传递

PS我试图改变@?-不工作

Vim*_*987 5

您不能将表名作为参数传递.您必须使用动态SQL来执行此操作,因此您必须使用字符串浓度来执行此操作

  MySqlCommand cmd = new MySqlCommand(String.Format("select * from {0}",tableName), cn)
Run Code Online (Sandbox Code Playgroud)

但是因为用户输入了tableName,所以SQL注入是可能的.您可以使用此SQL在查询该表之前确定该表是否存在:

SELECT table_name
FROM information_schema.tables
WHERE table_schema = 'databasename'
AND table_name = 'tablename';
Run Code Online (Sandbox Code Playgroud)

(您可以完美地参数化此查询,因此将消除SQL注入)

通常,请注意SQL注入.但是如果你使用这个内部(不暴露给用户),那么SQL注入不应该是问题.

更好的是,您可以构建一个存储过程来处理这个问题,如我的另一个答案:

使用LINQ的Unified SQL getter

  • -1.这是使用纯字符串的坏方法,因为我可以传递`tableName ="users; DROP TABLE users;"`,这将删除表 (2认同)

归档时间:

查看次数:

2208 次

最近记录:

14 年,7 月 前
相关归档
GDI +,JPEG Image to MemoryStream中发生一般错误 314
无法加载DLL(无法找到模块HRESULT:0x8007007E) 105
从lambda列表<>中删除重复值的最快方法 70
无法加载文件或程序集'System.ValueTuple' 42
如何更改字符串中的1个字符? 39
将404重定向到类似的网址 31
MySQL/PHP:通过tag/taxonomy查找类似/相关项目 14
使用StrongLoop自动创建mysql表 14
Amazon EC2 MySQL无法启动 12
Mysql删除约束 10
难疑归档
避免!= null语句 3904
在CSS中设置cellpadding和cellspacing? 3210
自制安装特定版本的公式? 2072
如何使div不大于其内容? 1960
如何在Java中声明和初始化数组? 1946
PostgreSQL"DESCRIBE TABLE" 1790
检查变量是否是JavaScript中的字符串 1550
<meta http-equiv ="X-UA-Compatible"content ="IE = edge">是做什么用的? 1378
如何创建文件并用Java写入? 1336
在React JSX中循环 1131