जैसा कि उल्लेख किया गया है, आप मौलिक क्वेरी को पैरामीटर नहीं कर सकते हैं, इसलिए आपको रनटाइम पर ही क्वेरी बनाना होगा। आपको श्वेत-सूची . चाहिए इसका इनपुट, इंजेक्शन के हमलों को रोकने के लिए, लेकिन मौलिक रूप से:
// TODO: verify that "slot" is an approved/expected value
SqlCommand command = new SqlCommand("SELECT [" + slot +
"] FROM Users WHERE [email protected]; ")
prikaz.Parameters.AddWithValue("name", name);
इस तरह @name आदि अभी भी पैरामीटरयुक्त है।
