Sqlserver
 sql >> डेटाबेस >  >> RDS >> Sqlserver

क्या डायनामिक एसक्यूएल का उपयोग किए बिना उपयोगकर्ता द्वारा निर्दिष्ट कॉलम नाम से पूछताछ करना संभव है?

दुर्भाग्य से तालिका के नाम, स्तंभ नामों को पैरामीट्रिज नहीं किया जा सकता है। चूंकि आप तालिका की संरचना को जानते हैं, इसलिए आपके पास इस पैरामीटर में संभावित कॉलम नामों की श्वेतसूची हो सकती है और फिर SQL इंजेक्शन से बचने के लिए इसके लिए स्ट्रिंग कॉन्सटेनेशन का उपयोग करें:

"WHERE " + Sanitize(column) + " = @Value");


  1. Database
  2.   
  3. Mysql
  4.   
  5. Oracle
  6.   
  7. Sqlserver
  8.   
  9. PostgreSQL
  10.   
  11. Access
  12.   
  13. SQLite
  14.   
  15. MariaDB
  1. SQL सर्वर 2008 - मैं तालिका-मूल्यवान फ़ंक्शन से उपयोगकर्ता-परिभाषित तालिका प्रकार कैसे वापस कर सकता हूं?

  2. टीएसक्यूएल श्रेड एक्सएमएल - क्या यह सही है या कोई बेहतर तरीका है (नौसिखिया @ श्रेडिंग एक्सएमएल)

  3. मैं सक्रिय SQL सर्वर कनेक्शन कैसे देख सकता हूँ?

  4. डुप्लीकेट के बिना निकटतम मूल्य के साथ बाएं शामिल हों

  5. SQL सर्वर निर्दिष्ट नहीं होने पर कनवर्ट करने के लिए शैली कैसे निर्धारित करता है?