सी # SqlCommand - स्तंभ नाम लिए पैरामीटर का उपयोग नहीं कर सकते, कैसे हल करने के लिए?

Question

वहाँ किसी भी तरह से है कि कैसे करना है? यह काम नहीं करता है:

SqlCommand command = new SqlCommand("SELECT @slot FROM Users WHERE name=@name; "); 
prikaz.Parameters.AddWithValue("name", name); 
prikaz.Parameters.AddWithValue("slot", slot); 

एकमात्र चीज जिसे मैं सोच सकता हूं वह एसपी का उपयोग करना और स्तंभ के लिए चर सेट करना और सेट करना है। मुझे थोड़ा सा लगता है।

Answer 1

आप नियमित रूप से एसक्यूएल में ऐसा नहीं कर सकते - अगर आप विन्यास स्तंभ नाम (या तालिका नाम, उस बात के लिए) होना चाहिए, आप गतिशील एसक्यूएल का उपयोग करना चाहिए - वहाँ इस लक्ष्य को हासिल करने के लिए कोई दूसरा रास्ता नहीं है।

string sqlCommandStatement = 
    string.Format("SELECT {0} FROM dbo.Users WHERE name=@name", "slot"); 

और उसके बाद SQL सर्वर में sp_executesql संग्रहीत proc का उपयोग कि SQL आदेश पर अमल करने (और आवश्यकतानुसार अन्य पैरामीटर निर्दिष्ट करें)।

डायनामिक एसक्यूएल के पास इसके पेशेवर और विपक्ष हैं - एसक्यूएल सर्वर एमवीपी एरलैंड सोमरस्क द्वारा लिखित The Curse and Blessings of Dynamic SQL पर अंतिम लेख पढ़ें।

Answer 2

के रूप में उल्लेख किया गया है, तो आप मौलिक क्वेरी parameterise नहीं कर सकते, तो आप क्वेरी रनटाइम पर ही निर्माण करना होगा। आप सफेद सूची इस के इनपुट, इंजेक्शन हमले से बचने चाहिए, लेकिन मौलिक:

// TODO: verify that "slot" is an approved/expected value 
SqlCommand command = new SqlCommand("SELECT [" + slot + 
      "] FROM Users WHERE name=@name; ") 
prikaz.Parameters.AddWithValue("name", name); 

आदि इस तरह @name अभी भी parameterised है