public static bool TruncateTable(string dbAlias,string tableName) { string sqlStatement = string.Format("TRUNCATE TABLE {0}",tableName); return ExecuteNonQuery(dbAlias,sqlStatement) > 0; }@H_502_3@
解决方法
打击sql注入的最常见建议是使用SQL查询参数(这个线程上的几个人已经建议了).
在这种情况下这是错误的答案.您不能在DDL语句中为表名使用SQL查询参数.
SQL查询参数只能用于替换sql表达式中的文字值.这是sql的每个实现的标准.
当您有表名时,我的防止sql注入的建议是根据已知表名的列表验证输入字符串.
您可以从INFORMATION_SCHEMA获取有效表名的列表:
SELECT table_name FROM INFORMATION_SCHEMA.Tables WHERE table_type = 'BASE TABLE' AND table_name = @tableName@H_502_3@现在,您可以将输入变量作为sql参数传递给此查询.如果查询不返回任何行,则您知道该输入无效用作表.如果查询返回一行,则匹配,因此您可以更安全地使用它.
您还可以根据您定义的特定表的列表来验证表名称,以便您的应用程序截断,如@John Buchanan suggests.
即使在确认tableName作为RDBMS中的表名称后,我也建议分隔表名,以防万一使用带有空格或特殊字符的表名.在Microsoft sql Server中,默认标识符分隔符是方括号:
string sqlStatement = string.Format("TRUNCATE TABLE [{0}]",tableName);@H_502_3@