用字符串列名查詢SQL表名

Question

我有兩個問題 1.我有一個列名字符串，它是列名。我如何在SQL查詢中使用它？ 2.該方法是否容易出現SQL注入？

這就是我現在所擁有的，

List<string> Columnnames = new List<string>(); 

cmd = new SqlCommand("Select "+Columnnames+" from test"); 

Answer 1

回答您的問題：

問題1 - 你的代碼更改爲類似：

List<string> Columnnames = new List<string>(); 

// Code that populates Columnnames here 

cmd = new SqlCommand("Select " + string.Join(",", Columnnames) + " from test"); 

問題2 - 取決於你如何填充Columnnames。如果這是從網上輸入填充，那麼是的。

Answer 2

可以的Columnnames列表轉換爲逗號分隔的列值。就像這樣：

string columns = Columnnames.Aggregate((x,y) => x + "," + y); 
cmd = new SqlCommand("Select "+columns+" from test"); 

這種方法很容易受到SQL注入有人可以輕鬆地發送列名像column ;drop database yourDB所以它是一個壞主意。

Answer 3

首先檢查Columnames是否有任何值。 其次做一個函數來創建類似於dus columna，columnb

SqlCommend應該看起來像這樣select columna，columb from test;

Answer 4

您應該將列名連接到查詢，以便每個列名用下一個逗號分隔，例如， （僞）

define sql = "SELECT " 

for columnName in columnNames: 
    concatenate sql,columnName 

    if columnName is not last: 
     concatenate sql,"," 
    end if 
end for 

concatenate sql," FROM test" 

漏洞取決於列名的來源。如果你有內部不變的列名列表，那麼沒有風險，但是如果它們來自外部源，比如使用應用程序的用戶，那麼它肯定會傾向於SQL注入。

Answer 5

如果列名來自外部源，那麼是的，您必須將它們連接到字符串中。理想情況下，您應該使用[/]，但只允許使用空格等列名 - 它不會更改有關SQL注入的任何內容，而且：允許用戶指定列名將是SQL注入風險，除非您先列出它們。所以也許：

if(Columnnames.Count == 0) throw new ArgumentException(
    "You need to specify at least one column"); 

var sql = new StringBuilder("select "); 
bool first = true; 
foreach(var name in Columnnames) { 
    if(!IsKnownColumnName(name)) { // <=== very important test 
     throw new ArgumentException("Invalid column name: " + name); 
    } 
    sql.Append(first ? "[" : ",[").Append(name).Append("]"); 
    first = false; 
} 
sql.Append(" from test"); 
... 
cmd.CommandText = sql.ToString();