代码之家  ›  专栏  ›  技术社区  ›  EricSchaefer

如何在npgsql中为查询提供表名作为命令参数?

npgsql postgresql sql .net c#
  •  3
  • EricSchaefer  · 技术社区  · 15 年前

    我想将查询的表名作为命令参数提供,如下所示: 

    public class Foo
{
    private const String myTableName = "mytable";

    public void Bar()
    {
        NpgsqlCommand command = new NpgsqlCommand("SELECT * from :tableName", connection);
        command.Parameters.Add(new NpgsqlParameter("tableName", DbType.String));
        command.Parameters[0].Value = myTableName;
    }
}

    这似乎会导致此查询: "SELECT * from E'mytable'" 这会导致错误(注意单引号)。

    我真的需要为此做字符串连接吗?从安全性的角度来看,这并不重要,因为用户不能更改表名,但是用于创建SQL查询的字符串串联总是让我毛骨悚然……

    谢谢, 埃里克

    1 回复  |  直到 15 年前
        1
  •  5
  •   Magnus Hagander    15 年前

    表名不能作为参数发送。表名是在解析时解析的,因为它们是计划和此类事情所必需的。参数仅在执行器(或优化器,如果需要)时间被替换。

    所以,是的,您需要使用字符串替换它。当然,只要表名来自类中的常量,这就不是安全问题(甚至成为安全问题的风险)。

    但是,如果您确实从用户输入构造表名,则需要非常小心。但是,通常,如果需要从用户输入构造表名,那么数据库中的某些东西首先设计得不好,应该得到修复(是的,当然也有例外)。

    推荐文章
    Sassa  ·  使用大型WHERE子句的查询导致EF6中使用npgsql的超时异常
    6 年前
    Marc Bernier  ·  Npgsql已忘记所有数据类型
    6 年前
    lazer-guided-lazerbeam  ·  如何在Visual Studio 2017中安装npgsql for c++
    7 年前
    Manfred Singer  ·  将字典(字符串,Int16())保存到PostgreSQL单元格中
    7 年前
    Bishoy  ·  从UWP应用程序连接到Postgres数据库时出错
    7 年前
    Amboara RABE-HARINORO  ·  使用npgsql在c#中插入
    7 年前
    Darren Wood  ·  Npgsql for c#如何访问表脚本、视图、外键和主键并编写它们的脚本
    8 年前
    Martijn Sneijders  ·  Postgresql windows服务器ssl压缩不工作
    8 年前
    Stu Ratcliffe  ·  如何在C中对NpgsqlDataReader扩展进行单元测试#
    8 年前
    Giova  ·  如何在复盆子pi 2(Mono 4+ARM proc)上部署npgsql?
    9 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号