正如主题所示,我希望能够使用.NET传递表名称(无论使用哪种语言)和sql Server.
我知道如何做这个值,例如command.Parameters.AddWithValue(“whatever”,无论如何)在查询中使用@whatever来表示参数.事情是我处于某种情况,我希望能够与查询的其他部分(如列和表名称)一起执行此操作.
这不是一个理想的情况,但它是我必须使用的,它不是真的很容易sql注入,因为只有使用代码的人可以设置这些表名,而不是最终用户.这是凌乱的.
那么我正在询问可能吗?
编辑:要清楚sql注入的意义,表名只能通过源代码传递,具体取决于具体情况.是指定这个的开发者.开发人员无论如何都可以访问数据库层,所以我问的原因不在于安全性,只是为了使代码更清洁.
