Wie die Abfrage den Spaltennamen dynamisch, mit Postgres/NpgSQL

Ich habe ein filter-Objekt, um Abfragen einer Tabelle mit vielen Spalten, und anstatt zu schreiben, eine Bedingung, die alle Spalten (so dass für die optionale Filterung) wie folgt:

WHERE ((:value0 IS NULL) OR (column_name0 = :value0)) AND ((:value1 IS NULL) OR (column_name1 = :value1)) AND... etc

für jede Spalte. Stattdessen würde ich im Idealfall würde ich mag in der Lage sein, um übergeben Sie den Namen des Feldes als parameter:

WHERE :column_name0 = :value0 AND column_name1 = :value1 AND... etc

ist nicht möglich, da die Spalten sind erforderlich zur Analysezeit (ähnlich wie diese Antwort die hier gegeben werden).

Wie überwinden Sie diese? - Ich weiß nicht wirklich wollen, um die Pflege der SQL wenn neue Spalten Hinzugefügt oder entfernt (wie in meinem ersten Beispiel) und ich denke, es wäre gefährlich für mich zu konstruieren, die den Spaltennamen in der Kommando-string direkt, da dies vielleicht ermöglichen sql-injection.

Beachten Sie, dass dieser code ist hinter einem web service.

  • Warum tun Sie oft brauchen, um Spalten hinzufügen oder entfernen? Welchen guten Grund gibt es für eine solche Notwendigkeit?
  • Ich brauche das nicht zu tun dies oft. Ich wollte nur nicht zur Verwaltung der sql in meine filter-Objekt für jede änderung in meiner Datenbank und zur gleichen Zeit bieten ein flexibles Objekt, das zum filtern von Daten.
InformationsquelleAutor Mr Shoubs | 2011-04-07
  1. 23

    Nur sicherstellen, dass Endbenutzer nicht die Spaltennamen direkt und Sie sollten sicher sein, bei der Konstruktion der Abfrage manuell. Wenn Sie brauchen, um herauszufinden, welche Spalte die Namen sind gültig für Laufzeit Sie können die folgende Abfrage verwenden:

    SELECT column_name
FROM information_schema.columns
WHERE table_schema='public' AND table_name='yourtablename'
    • +1 für die Idee, über erste gültige Spaltennamen. Hinweis - dies ist ein web-Dienst, der client-software stellt das filtern von Informationen, und zwar Sicherheit/Authentifizierung implementiert ist, könnte es dennoch möglich sein, rufen Sie den webservice mit Daten, die andere als client.
    • Ich werde Ihre Idee zu speichern (dürfen) Spaltennamen server-Seite in einem Wörterbuch von Spaltennamen (in einem Wörterbuch der tablenames) beim starten des Dienstes. Der Kunde kann das finden der Schlüssel und nicht die tatsächlichen Namen der Tabelle oder Spalte(N) in das filter-Objekt
    InformationsquelleAutor Eelke
  2. 1

    Ich denke, die einfachste Lösung ist zum erstellen der SQL-Anweisung on-the-fly.

    SQL-injection ist nicht möglich, wenn man die Parameter für den Benutzer zur Verfügung gestellten Daten.

    • Ja, die fliege ist eine einfache Lösung, aber da dies ein web service mit dem client übergeben in der Filter-Kriterien, einschließlich der Spalte Informationen kann es immer noch öffnen, um anzugreifen.
    • Sie haben Recht, wenn Sie die Spaltennamen sind durch den Benutzer bereitgestellt werden, dann ist es gefährlich. Eine Lösung (nicht perfekt) ist, dass nur Zeichen (A-Z, a-z) und der Unterstrich (_). Und eventuell Ziffern (0-9), aber nicht am Anfang.
    • Der client ist die client-Anwendung. +1 für richtige Antworten, aber @Eelke hat die beste Idee, um meine Frage zu beantworten.
    InformationsquelleAutor Thomas Mueller
  3. 0

    Beispiel:

    NpgsqlCommand command = new NpgsqlCommand(SQL, Connection);
        Npgsql.NpgsqlDataReader Resource = command.ExecuteReader();

        while (this.Resource.Read())
        {
            for (int i = 0; i < this.Resource.FieldCount; i++)
            {
                string field = this.Resource.GetName(i).ToString();
            }
        }
    InformationsquelleAutor Oberdan
Schreibe einen Kommentar