问题描述
我必须根据某些输入动态修改 sql Server 数据库。我想做的是生成修改命令然后执行它们。而且,为了避免 sql 注入,我想使用参数。但它不起作用。
public static void ModifyDatabase(string name)
{
string connectionString = "Server=localhost; Database=DEV_Tests; Integrated Security=True;";
var sqlCommand = "CREATE SCHEMA @schemaname";
using (var connection = new sqlConnection(connectionString))
using (var command = new sqlCommand(sqlCommand,connection))
{
connection.open();
command.Parameters.AddWithValue("@schemaname",name);
command.ExecuteNonQuery();
connection.Close();
}
}
这会引发语法错误。但是这个有效:
public static void ModifyDatabase()
{
string connectionString = "Server=localhost; Database=DEV_Tests; Integrated Security=True;";
var sqlCommand = "CREATE SCHEMA AAAA";
using (var connection = new sqlConnection(connectionString))
using (var command = new sqlCommand(sqlCommand,connection))
{
connection.open();
command.ExecuteNonQuery();
connection.Close();
}
}
所以,或者我做错了什么(可能是),或者我不能在“创建模式”中使用参数。事实上,在第二个(没有参数的那个)中,如果我添加一个参数而不使用它,也会失败。是这样吗?如果我们不能在这里使用参数,那么净化输入的最佳方法是什么?修剪它并删除冲突的参数?
谢谢。
解决方法
您不能在 CREATE 语句中使用参数。而是使用 QUOTENAME 和 sp_executesql 动态执行它:
DECLARE @sql nvarchar(max) = N'CREATE SCHEMA ' + QUOTENAME(@schema);
EXEC sp_executesql @sql;
如果您有任何其他可以在查询中使用的参数,那么您也可以将其传递给 sp_executesql。
您应该将架构名称作为 nvarchar(128) 传递,这与 sysname 相同:
command.Parameters.Add("@schemaname",SqlDbType.NVarChar,128).Value = name;
另一个小技巧:为避免养成串联/注入 SQL 的习惯,我总是将查询变量声明为 const string query。