什麼是在運行時動態選擇表名的最佳方式？

Question

我正在使用MySQL連接器/網絡，我想寫一個名稱將在運行時指定的表的查詢。

這個例子是把我的頭（未測試）的頂部：

public class DataAccess 
{ 
    public enum LookupTable 
    { 
     Table1, 
     Table2, 
     Table3 
    } 

    public int GetLookupTableRowCount(LookupTable table) 
    { 
     string tableName = string.Empty; 

     switch (table) 
     { 
      case LookupTable.Table1: 
       tableName = "table_1"; 
       break; 
      case LookupTable.Table2: 
       tableName = "table_2"; 
       break; 
      case LookupTable.Table3: 
       tableName = "table_3"; 
       break; 
      default: 
       throw new ApplicationException("Invalid lookup table specified."); 
     } 

     string commandText = string.Concat("SELECT COUNT(*) FROM ", tableName); 

    // Query gets executed and function returns a value here... 
    } 
} 

因爲我不認爲你可以在查詢參數表名，我用了一個枚舉，而不是一個字符串功能參數限制SQL injection的可能性。

這似乎是一個很好的方法嗎？有沒有更好的辦法？

Answer 1

您不能在MySQL中提出identifier（表名或字段名）的參數，但是您可以使用反引號將它們轉義。

下面的查詢將安全地運行，但因爲表不存在產生錯誤（除非一些奇怪的機會，你實際上有一個名爲像這樣的表）：

SELECT * FROM `users; DROP TABLE users;`; 

基本上，你可以使用動態名稱或字段，只要它們用反引號括起來即可。爲了防止SQL注入這樣，所有你需要做的是首先去掉任何反引號：

tableName = tableName.Replace("`", ""); 
string commandText = "SELECT COUNT(*) FROM `" + tableName + "`"; 

Answer 2

對，你不能使用表名，列名，SQL關鍵字或表達式等的查詢參數。你可以使用查詢參數僅用於單個值。

我同意做一些從輸入到文字表名的映射是防止SQL注入的好方法。

我不用.NET編程，我通常使用PHP，Python或Perl等動態語言。所以我使用了一個哈希數組。如果您可以簡單地使用枚舉變量來索引散列數組，則可以跳過switch()。

$tableName = $tableNameHash[ $table ]; 

.NET是否支持哈希映射類型的數據結構？這就是我想要的。

---

看起來像標準C++庫中有一個hash_map類。

Answer 3

動態表名是不是一個好辦法（除非你正在開發一個類似PHPMyAdmin或東西）。

如果你的表名是有限的，你爲什麼不製作一個存儲過程並用參數調用它？

DECLARE _which INT 
BEGIN 
     SELECT COUNT(*) 
     FROM table_1 
     WHERE _which = 1 
     UNION ALL 
     SELECT COUNT(*) 
     FROM table_2 
     WHERE _which = 2 
     UNION ALL 
     SELECT COUNT(*) 
     FROM table_3 
     WHERE _which = 3 
END