Sqlserver
 sql >> Datenbank >  >> RDS >> Sqlserver

Ist es möglich, einen benutzerdefinierten Spaltennamen abzufragen, ohne auf dynamisches SQL zurückzugreifen?

Tabellennamen, Spaltennamen können leider nicht parametrisiert werden. Da Sie die Struktur der Tabelle kennen, könnten Sie eine Whitelist möglicher Spaltennamen in diesem Parameter haben und dann eine Zeichenfolgenverkettung dafür verwenden, um eine SQL-Einschleusung zu vermeiden:

"WHERE " + Sanitize(column) + " = @Value");