gpt4 book ai didi

c# - @indexName 附近的语法不正确。小巧玲珑

转载 作者:行者123 更新时间:2023-11-30 21:29:14 27 4
gpt4 key购买 nike

这似乎是一种奇怪的行为,但以下代码会引发错误:

public async Task RebuildIndex(string tableName, string indexName)
{
await _dbConnection.ExecuteAsync($@"
alter index @indexName on @tableName rebuild;",
new
{
indexName = indexName,
tableName = tableName
});
}

错误信息:

System.Data.SqlClient.SqlException (0x80131904): Неправильный синтаксис около конструкции "@indexName".
at System.Data.SqlClient.SqlConnection.OnError(SqlException exception, Boolean breakConnection, Action`1 wrapCloseInAction)
at System.Data.SqlClient.SqlInternalConnection.OnError(SqlException exception, Boolean breakConnection, Action`1 wrapCloseInAction)
at System.Data.SqlClient.TdsParser.ThrowExceptionAndWarning(TdsParserStateObject stateObj, Boolean callerHasConnectionLock, Boolean asyncClose)
at System.Data.SqlClient.TdsParser.TryRun(RunBehavior runBehavior, SqlCommand cmdHandler, SqlDataReader dataStream, BulkCopySimpleResultSet bulkCopyHandler, TdsParserStateObject stateObj, Boolean& dataReady)
at System.Data.SqlClient.SqlCommand.FinishExecuteReader(SqlDataReader ds, RunBehavior runBehavior, String resetOptionsString)
at System.Data.SqlClient.SqlCommand.CompleteAsyncExecuteReader()
at System.Data.SqlClient.SqlCommand.EndExecuteNonQueryInternal(IAsyncResult asyncResult)
at System.Data.SqlClient.SqlCommand.EndExecuteNonQuery(IAsyncResult asyncResult)
at System.Threading.Tasks.TaskFactory`1.FromAsyncCoreLogic(IAsyncResult iar, Func`2 endFunction, Action`1 endAction, Task`1 promise, Boolean requiresSynchronization)
--- End of stack trace from previous location where exception was thrown ---
at Dapper.SqlMapper.ExecuteImplAsync(IDbConnection cnn, CommandDefinition command, Object param) in C:\projects\dapper\Dapper\SqlMapper.Async.cs:line 678
at Railways.DbManager.Repositories.DbmIndexDefragmentationRepository.RebuildIndex(String tableName, String indexName) in C:\Railways\asu-itk-core\Railways\Railways.DbManager.Repositories\DbmIndexDefragmentationRepository.cs:line 48
at Railways.DBManager.Services.IndexDefragmentationService.DefragIndexes() in C:\Railways\asu-itk-core\Railways\Railways.DBManager.Services\IndexDefragmentationService.cs:line 41
ClientConnectionId:7db4e7f6-e01d-4671-9fe3-e22dcb388cd4
Error Number:102,State:1,Class:15

这里有什么问题?

我只是传递参数,这应该有效。

也许我遗漏了什么?谁能提出解决方案?

最佳答案

您将无法参数化 SQL 语句中使用的目标对象名称,即表名和索引名称无法参数化。这不仅仅是 Dapper 的限制——例如ADO.Net 和 sp_executesql 同样不能参数化表。 (据推测,参数化不仅可以防止 SQL 注入(inject)攻击,还可以改进基于精确数据类型的执行计划缓存 - 如果目标表是动态的,计划缓存显然是不可能的)。

在您的情况下,您将需要进行自己的 SQL 注入(inject)检查(如果需要 - 索引名称和表名称来自不受信任的用户是非常不寻常的),然后只需将名称替换为 SQL 语句,例如通过string interpolationString.Format

如果您确实接受来自不受信任用户的表名或索引名并且需要防范SQL注入(inject)攻击,您可以使用Aaron Betrand's advice在执行SQL语句之前,先检查sys.tables中的表和sys.indexes中的索引是否存在。

编辑

之所以可以在针对 system 表(如 sys.tables)和 DMVs(如 sys)的查询中参数化表名的原因。 dm_db_index_physical_stats 是因为在这里,表名或其他对象的名称是列中的值。但同样,您将无法参数化系统表的名称或 DMV 本身。

关于c# - @indexName 附近的语法不正确。小巧玲珑,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55539781/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com