c# - @indexName 附近的语法不正确。小巧玲珑
问题描述
这似乎是一种奇怪的行为,但以下代码会引发错误:
public async Task RebuildIndex(string tableName, string indexName)
{
await _dbConnection.ExecuteAsync($@"
alter index @indexName on @tableName rebuild;",
new
{
indexName = indexName,
tableName = tableName
});
}
错误信息:
System.Data.SqlClient.SqlException (0x80131904): Неправильный синтаксис около конструкции "@indexName".
at System.Data.SqlClient.SqlConnection.OnError(SqlException exception, Boolean breakConnection, Action`1 wrapCloseInAction)
at System.Data.SqlClient.SqlInternalConnection.OnError(SqlException exception, Boolean breakConnection, Action`1 wrapCloseInAction)
at System.Data.SqlClient.TdsParser.ThrowExceptionAndWarning(TdsParserStateObject stateObj, Boolean callerHasConnectionLock, Boolean asyncClose)
at System.Data.SqlClient.TdsParser.TryRun(RunBehavior runBehavior, SqlCommand cmdHandler, SqlDataReader dataStream, BulkCopySimpleResultSet bulkCopyHandler, TdsParserStateObject stateObj, Boolean& dataReady)
at System.Data.SqlClient.SqlCommand.FinishExecuteReader(SqlDataReader ds, RunBehavior runBehavior, String resetOptionsString)
at System.Data.SqlClient.SqlCommand.CompleteAsyncExecuteReader()
at System.Data.SqlClient.SqlCommand.EndExecuteNonQueryInternal(IAsyncResult asyncResult)
at System.Data.SqlClient.SqlCommand.EndExecuteNonQuery(IAsyncResult asyncResult)
at System.Threading.Tasks.TaskFactory`1.FromAsyncCoreLogic(IAsyncResult iar, Func`2 endFunction, Action`1 endAction, Task`1 promise, Boolean requiresSynchronization)
--- End of stack trace from previous location where exception was thrown ---
at Dapper.SqlMapper.ExecuteImplAsync(IDbConnection cnn, CommandDefinition command, Object param) in C:\projects\dapper\Dapper\SqlMapper.Async.cs:line 678
at Railways.DbManager.Repositories.DbmIndexDefragmentationRepository.RebuildIndex(String tableName, String indexName) in C:\Railways\asu-itk-core\Railways\Railways.DbManager.Repositories\DbmIndexDefragmentationRepository.cs:line 48
at Railways.DBManager.Services.IndexDefragmentationService.DefragIndexes() in C:\Railways\asu-itk-core\Railways\Railways.DBManager.Services\IndexDefragmentationService.cs:line 41
ClientConnectionId:7db4e7f6-e01d-4671-9fe3-e22dcb388cd4
Error Number:102,State:1,Class:15
这里有什么问题?
我只是传递参数,这应该可以。
也许我错过了什么?有人可以提出解决方案吗?
解决方案
您将无法参数化 SQL 语句中使用的目标对象名称,即无法参数化表名和索引名称。这不仅仅是一个 Dapper 限制 - 例如 ADO.Net 并且sp_executesql同样不能参数化表。(推测,参数化不仅可以防止 SQL 注入攻击,还可以根据确切的数据类型改进执行计划缓存 - 如果目标表是动态的,显然不可能进行计划缓存)。
在您的情况下,您将需要进行自己的 SQL 注入检查(如果需要 - 索引名称和表名称来自不受信任的用户是非常不寻常的),然后只需将名称替换为 SQL 语句,例如通过字符串插值或String.Format.
如果你真的接受来自不受信任的用户的表名或索引名,并且需要防范 SQL 注入攻击,你可以参考Aaron Betrand 的建议,在执行 SQL 语句之前先检查表 insys.tables和索引 in的存在。sys.indexes
编辑
之所以可以在查询systemlikesys.tables和DMVslike时参数化表名,sys.dm_db_index_physical_stats是因为在这里,表或其他对象的名称是列中的值。但同样,您将无法参数化系统表的名称或 DMV 本身。
推荐阅读
- javascript - 从相关实体获取最小列值
- apache-nifi - APACHE NIFI 错误消息:'dd/MM/yyyy hh:mm:ss',无法转换为时间戳"
- javascript - 如何在不加载整个子对象的情况下获取 Firebase 实时数据库密钥
- java - 带有 Open JDK 和 Tomcat 9.0 的 Struts 2 的 Servlet API 转换问题
- javascript - 处理节点中的请求错误
- java - Java MongoDB 驱动程序:如何更新集合中的所有文档?
- typescript - 将回调类型作为函数,接受几种可能类型之一的参数
- ansible - Ansible URI API (JSON-RPC)
- automated-tests - 能否在 HP ALM 中跟踪 TestCafe 结果?
- python - 使用 groupby 函数计算 Pandas DataFrame 中值的范围