Имя таблицы параметров в .NET / SQL?

Я не думаю, что я когда-либо встречал эту возможность ни в одном из диалектов SQL, но это не область знаний.

Я бы предложил ограничить символы до AZ, az, 0-9, '.', '_' И '' - а затем использовать любые подходящие скобки для базы данных (например, [] для SQL Server, я полагаю), чтобы обернуть вокруг всего этого. Затем просто поместите его прямо в SQL.

Не совсем понятно, что вы имели в виду, говоря, что это не риск внедрения SQL-кода - вы имеете в виду, что имена будут в исходном коде и только в исходном коде? Если так, то я согласен, что это улучшит ситуацию. Возможно, вам даже не потребуется делать брекетинг автоматически, если вы уверены, что ваши разработчики не кретины (намеренно или нет).

Вы не можете напрямую параметризовать имя таблицы. Вы можете сделать это косвенно через sp_ExecuteSQL, но вы также можете создать (параметризованный) TSQL на C # (объединяя имя таблицы, но не другие значения) и отправить его как команду. Вы получаете ту же модель безопасности (т.е. вам нужен явный SELECT и т. Д., При условии, что он не подписан и т. Д.).

Также - обязательно занесите имя таблицы в белый список.

Вы можете передать имя таблицы в качестве параметра, как и любой другой параметр. Ключ в том, что вам нужно создать динамический оператор sql, который затем следует рассмотреть, проще ли его создать на уровне вашего приложения или в процессах.

create procedure myProc

@tableName nvarchar(50)

as

sp_executesql N'select * from ' + @tablename

fyi, этот образец кода взят из памяти, посмотрите на BOL, чтобы узнать правильный синтаксис sp_executesql.

Кроме того, это очень восприимчиво к SQL-инъекции, поскольку вы указали, что это не проблема для вас, но любой, кто читает это, должен очень осторожно принимать ввод от пользователя для генерации своих запросов, подобных этому.

Параметры SQL-запроса могут заменять только буквальное значение. Вы не можете использовать параметр для имени таблицы, имени столбца, списка значений или другого синтаксиса SQL. Это стандартное поведение SQL для всех типов баз данных.

Единственный способ сделать имя таблицы динамическим - это интерполировать переменную в ваш SQL-запрос до того, как вы подготовите эту строку как инструкцию.

Кстати, вы обманываете себя, если думаете, что это не риск для SQL-инъекции. Если вы динамически вставляете имя таблицы в запрос, вам необходимо использовать идентификаторы с разделителями вокруг имени таблицы, точно так же, как вы использовали бы кавычки вокруг строкового литерала, который интерполируется из переменной.

Идея о том, что он не подвержен SQL-инъекциям, ошибочна. Он может быть менее подвержен SQL-инъекциям со стороны внешних пользователей, но по-прежнему очень подвержен SQL-инъекциям. Большинство атак на базы данных происходят изнутри атакуемой компании, а не от конечных пользователей.

У сотрудников может быть недовольство, они могут быть нечестными, они могут быть недовольны или просто не столь умны и думать, что можно обойти систему безопасности, чтобы делать то, что, по мнению ОНИ, должно быть сделано. база данных.

См. Этот пост-ответ пользователя Vimvq1987: MySqlParameter as TableName

По сути, вы сначала сверяете имя таблицы со схемой, в которой имя таблицы используется параметризованным образом. Тогда, если все в порядке, имя таблицы правильное.

Перефразируя основную идею:

    SELECT table_name
    FROM information_schema.tables
    WHERE table_schema = 'databasename'
    AND table_name = @table;

    cmd.Parameters.AddWithValue("@table",TableName);

Если это возвращает нормально с именем таблицы, продолжайте свой основной запрос ...

Я бы просто проверил select OBJECT_ID(@tablename), идея состоит в том, чтобы предотвратить инъекцию, вы знаете, что это должно быть имя таблицы, это было, если это возвращает число, тогда я бы запустил фактический запрос,