在架构/表名称中使用“[”和“]”字符时,如何避免SQL注入?

我有几个上下文,其中表名或模式不是硬编码的,而是由管理员配置的,或者更糟的是,由用户输入生成的。

由于case很容易(模式和表名都是纯英语的,没有数字和符号),因此只要禁止外部的任何字符,就很容易避免SQL注入 A-Z 和 a-z 范围。但是,当应用程序必须处理任何Unicode字符(可以是模式或表名称的一部分)时,这种方法会很糟糕。

现在,如果SQL查询使用 '[' 和 ']' 要将名称包括到架构、表和列中,仅禁止 ']' 名称中的字符以避免SQL注入?

例子:

A'B是表的有效名称。所以:

string tableNameFromUserInput = "A'B"; // Let's imagine it is a user input.
using (SqlCommand getEverything = new SqlCommand(
    string.Format("select * from [dbo].[{0}]", tableNameFromUserInput),
    sqlConnection)
{
    // Do stuff.
}

完全有效,并且没有理由阻止单引号字符。

那么在下面的代码中是否存在SQL注入的风险?

string tableName = UserInput.GetUnsafeInputFromUser();

// Search for ']' character only.
if (tableName.IndexOf(']') != -1)
{
    throw new HackerDetectedException();
}
else
{
    using (SqlCommand getEverything = new SqlCommand(
        string.Format("select * from [dbo].[{0}]", tableNameFromUserInput),
        sqlConnection)
    {
        // Do stuff.
    }
}

编辑:

经过一番搜索,我发现了一篇关于 Delimited identifiers 在Microsoft SQL中。根据它:

标识符的主体可以包含当前代码页中的任何字符组合,但分隔字符本身除外。

顺便说一下,分隔标识符限制为128个字符。

• 这个 必须禁止字符(或者,更好的是,替换为 ']]' ;见下面马克·拜尔斯的回答)。
• 长度必须限制为128个字符(在上面的示例代码中没有这样做),