个人中心
文章发布
退出
作者热门文章
- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
29
4
是否可以将列的别名作为 SqlParameter 添加到 SQL 命令中?如果是这样,它是如何指定的?
作为一个简化的例子,假设我有一个这样构造的 SQL 命令:
SqlCommand GetCommand(string columnName)
{
string filter = String.Format("SELECT MyColumn1 AS '{0}' FROM MyTable", columnName);
return new SqlCommand(filter);
}
这个命令对防止 SQL 注入(inject)攻击没有任何作用,所以我想按照标准程序对命令进行参数化。
我习惯于将 WHERE 子句中的语句转换为使用参数。语句类似于上面的语句,例如:
SqlCommand command("SELECT * FROM MyTable WHERE name = '{0}'", name);
当我转换它时,它变成:
SqlCommand command("SELECT * FROM MyTable WHERE name = @name");
command.Parameters.Add(new SqlParameter("name", SqlDbType.NVarChar) { Value = name });
效果很好。在此处对 GetCommand() 方法采用相同的方法可得出:
SqlCommand GetCommand(string columnName)
{
string filter = "SELECT MyColumn1 AS @columnName FROM MyTable";
SqlCommand command = new SqlCommand(filter);
command.Parameters.Add(new SqlParameter("columnName", SqlDbType.NVarChar)
{ Value = columnName });
return command;
}
但是,当命令被执行时,结果是:
An exception of type 'System.Data.SqlClient.SqlException' occurred in MyApplication.exe but was not handled in user code
Additional information: Incorrect syntax near '@columnName'.
我看到在 SO 和网络上有很多关于 SqlParameter 使用的问题,但似乎没有一个涉及到它们与列别名的使用。
Microsoft's SqlParameter documention 中没有任何指示任何一个。由此,我注意到 SqlParameter.Direction 属性默认为 ParameterDirection.Input;列别名用于输出,所以我尝试了 InputOutput 和 Output,但对结果没有影响。
最佳答案
简短回答:你不能。
列别名不可参数化。它们是 SQL 语言中的标识符,而不是值 - 就像列名本身或表名一样。
“从表 Y 中获取列 X,并在结果集中将其命名为 Z。” X、Y 或 Z 均不可参数化。
请注意,这不是 SqlParameter 的限制,而是 Sql Server 实现的 SQL 语言的限制。
关于c# - 如何将 SQL 列别名指定为 SqlParameter?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52522017/
29
4
0
我正在尝试使用这些命名空间之一 //using Microsoft.Data.SqlClient; using System.Data.SqlClient; 我的模型 public class Get
我将我的项目从 ASP.NET Core 2.2 迁移到 ASP.NET Core 3.0。现在我得到了这个异常(exception)。在 ASP.NET Core 2.2 中,它使用 FromSql
我想知道如何SqlParameter知道没有指定的类型吗? 例如,在实例化参数对象时,您不需要指定 DB 类型。以某种方式执行命令时,.net 会为您处理此问题。在幕后是否有某种转换正在发生?当你做/
我们有一个代码块,它创建一个 sqlParameters 列表,然后将它们传递给存储过程。要求根据输入文本框是否为空有条件地使一些值无效。 基本代码: var SqlParams = new List
如何设置SqlParameter的值相当于 SQL INSERT 语句的 DEFAULT 关键字? MSDN documentation表示“使用 null 或不设置 Value 以使用参数的默认值。
如何设置SqlParameter的值相当于 SQL INSERT 语句的 DEFAULT 关键字? MSDN documentation表示“使用 null 或不设置 Value 以使用参数的默认值。
我想从我的代码中删除手动转义。而不是这个,我想使用 SqlParameter 对象。 foreach (ThreadPost post in ThreadPosts) { string ne
Sql命令构建 我已经构建了如下的 Sql 命令: string _InsertVehicleQuery = "INSERT INTO VSI_VehicleRecords(StockNumb
SqlParameter[] _parameters = { new SqlParameter( "@IDNumber", Person.IDNumber ),
给定以下代码行: cmd.Parameters.Add(new SqlParameter("@displayId", SqlDbType.NVarChar).Value = customer.Disp
我正在尝试访问一个存储过程,但我收到一条错误消息: Procedure or function 'getbug' expects parameter '@bugID', which was not s
我需要检查 SqlParameter 对象的值并根据特殊标签更改它。即:[BB] ==> 棒球,[FP] ==> 快投。 我可以用这样的附加函数来做到这一点: _params.Add(new SqlP
我正在尝试转换: command.Parameters.Add (new SqliteParameter (DbType.Int32) { Value = id }); 到一个普通的 SqlParam
我有一个网络服务,所以处理程序一直被同时调用多次。 我在里面创建了 SqlConnection 和 SqlCommand。我必须执行大约 7 个不同的命令。不同的命令需要不同的参数,所以我只添加一次:
我收到这个错误: System.Data.SqlClient.SqlException: 'The parameterized query '(@inputKarakterSoort varchar(
我有一个 SqlCommand我想打电话Prepare()在谁的CommandType = Text (它 不能 是一个存储过程)。 为了做到这一点,我需要设置 Size参数上的属性非零,否则抛出异常
这个问题已经有答案了: SQL Server error "Procedure expects parameter" (1 个回答) 已关闭 8 年前。 我正在尝试从 C# 程序访问存储过程,令人难以
我正在使用最新版本的 MiniProfiler,一切都已按我的预期设置和工作。我唯一的问题是 SqlParameters 没有显示。 例如,我正在运行一个存储过程:- var cmd = dbcon.
我有一个 SqlCommand,它运行一个包含两个整数输出参数的存储过程。就在 SqlCommand 运行之前,我可以看到输出参数设置为正确的值,但是当命令实际执行时,它对参数 1 使用 NULL,对
我正在开发一个必须支持多种语言的应用程序。为了解决特殊字符问题,我在文本字段中使用了 NVarhcar。所以我对文本字段的 SQL 查询是 insert into tbl_text(text)valu
我是一名优秀的程序员,十分优秀!