Можно ли параметризовать имена таблиц и столбцов в запросах SQLite?

Я пытаюсь выполнить параметризованный запрос в SQLite из С#, а метод im используется вдоль строк создания статической команды с

        SQLiteCommand cmd = new SQLiteCommand(
        "SELECT [ID]" +
            ",[email]" +
            ",[serializedata]" +
            ",[restrictions]" +
        " FROM " + UserTable +
        " WHERE @search = @searchparam", SQLConnection);

        cmd.Parameters.Add(new SQLiteParameter("@searchparam"));
        cmd.Parameters.Add(new SQLiteParameter("@search"));

и называя его следующим образом:

        Command.Parameters["@searchparam"].Value = searchdata;
        Command.Parameters["@search"].Value = search;
        SQLiteDataAdapter slda = new SQLiteDataAdapter(UserSelectUsernameCommand);
        DataSet ds = new DataSet();
        slda.Fill(ds);
        User[] array = new User[ds.Tables[0].Rows.Count];
        int index = 0;
        foreach (DataRow row in ds.Tables[0].Rows)
        {
            array[index] = new User(this, row);
            index++;
        }
        return array;

но im получение ошибки вдоль строки "@search" не является правильным именем столбца "или что-то в этом роде. если я использую имя константного столбца и использую только данные для параметров, которые он работает, но я не хочу создавать 10 разных команд, когда мне нужно искать по разным именам столбцов.

В чем проблема?

Ответ 1

В общем случае такие вещи, как имена столбцов (или имена таблиц), могут быть параметризованы не, а тот факт, что существуют разные индексы, означает, что он должен быть другим планом внутри. Поэтому вам нужно будет использовать конкатенацию - , но будьте осторожны с белыми списками известных имен столбцов, чтобы предотвратить SQL-инъекцию:

    SQLiteCommand cmd = new SQLiteCommand(@"
    SELECT [ID],[email],[serializedata],[restrictions]
    FROM " + whiteListedUserTable + @"
    WHERE [" + whiteListedColumnName + @"] = @searchparam", SQLConnection);

    cmd.Parameters.Add(new SQLiteParameter("@searchparam"));
    ...
    Command.Parameters["@searchparam"].Value = searchdata;

Ответ 2

Вы не можете использовать параметр запроса таким образом - указать имя столбца. Вы можете использовать его только для подачи значений.

Рассмотрим что-то вроде этого:

    SQLiteCommand cmd = new SQLiteCommand(
    "SELECT [ID]" +
        ",[email]" +
        ",[serializedata]" +
        ",[restrictions]" +
    " FROM " + UserTable +
    " WHERE [" + search + "] = @searchparam", SQLConnection);

    cmd.Parameters.Add(new SQLiteParameter("@searchparam"));

Если вы контролируете все входные данные этой функции, и нет, если она может быть предоставлена ​​кем-то, кроме вас, это должно быть безопасным. Но если search поступает от ненадежной третьей стороны, обязательно сделайте соответствующие проверки безопасности на значение.