【发布时间】:2021-03-23 20:22:09
【问题描述】:
我必须根据某些输入动态修改 SQL Server 数据库。我想做的是生成修改命令然后执行它们。而且,为了避免 SQL 注入,我想使用参数。但它不起作用。
这是我的 PoC 代码的 sn-p(只是一个粗略的东西):
public static void ModifyDatabase(string name)
{
string connectionString = "Server=localhost; Database=DEV_Tests; Integrated Security=True;";
var sqlCommand = "CREATE SCHEMA @schemaname";
using (var connection = new SqlConnection(connectionString))
using (var command = new SqlCommand(sqlCommand, connection))
{
connection.Open();
command.Parameters.AddWithValue("@schemaname", name);
command.ExecuteNonQuery();
connection.Close();
}
}
这会引发语法错误。但这一个有效:
public static void ModifyDatabase()
{
string connectionString = "Server=localhost; Database=DEV_Tests; Integrated Security=True;";
var sqlCommand = "CREATE SCHEMA AAAA";
using (var connection = new SqlConnection(connectionString))
using (var command = new SqlCommand(sqlCommand, connection))
{
connection.Open();
command.ExecuteNonQuery();
connection.Close();
}
}
所以,或者我做错了什么(可能是),或者我不能在“创建模式”中使用参数。事实上,在第二个(没有参数的那个)中,如果我添加一个参数而不使用它,也会失败。是这样吗?如果我们不能在这里使用参数,那么清理输入的最佳方法是什么?修剪它并删除冲突的参数?
谢谢。
【问题讨论】:
标签: c# sqlcommand