दुर्भाग्य से तालिका के नाम, स्तंभ नामों को पैरामीट्रिज नहीं किया जा सकता है। चूंकि आप तालिका की संरचना को जानते हैं, इसलिए आपके पास इस पैरामीटर में संभावित कॉलम नामों की श्वेतसूची हो सकती है और फिर SQL इंजेक्शन से बचने के लिए इसके लिए स्ट्रिंग कॉन्सटेनेशन का उपयोग करें:
"WHERE " + Sanitize(column) + " = @Value");
SQL सर्वर 2008 - मैं तालिका-मूल्यवान फ़ंक्शन से उपयोगकर्ता-परिभाषित तालिका प्रकार कैसे वापस कर सकता हूं?
टीएसक्यूएल श्रेड एक्सएमएल - क्या यह सही है या कोई बेहतर तरीका है (नौसिखिया @ श्रेडिंग एक्सएमएल)
मैं सक्रिय SQL सर्वर कनेक्शन कैसे देख सकता हूँ?
डुप्लीकेट के बिना निकटतम मूल्य के साथ बाएं शामिल हों
SQL सर्वर निर्दिष्ट नहीं होने पर कनवर्ट करने के लिए शैली कैसे निर्धारित करता है?
