这似乎是一个奇怪的行为,但以下代码抛出错误:
public async Task RebuildIndex(string tableName, string indexName)
{
await _dbConnection.ExecuteAsync($@"
alter index @indexName on @tableName rebuild;",
new
{
indexName = indexName,
tableName = tableName
});
}
错误消息:
System.Data.SqlClient.SqlException (0x80131904): Неправильный синтаксис около конструкции "@indexName".
at System.Data.SqlClient.SqlConnection.OnError(SqlException exception, Boolean breakConnection, Action`1 wrapCloseInAction)
at System.Data.SqlClient.SqlInternalConnection.OnError(SqlException exception, Boolean breakConnection, Action`1 wrapCloseInAction)
at System.Data.SqlClient.TdsParser.ThrowExceptionAndWarning(TdsParserStateObject stateObj, Boolean callerHasConnectionLock, Boolean asyncClose)
at System.Data.SqlClient.TdsParser.TryRun(RunBehavior runBehavior, SqlCommand cmdHandler, SqlDataReader dataStream, BulkCopySimpleResultSet bulkCopyHandler, TdsParserStateObject stateObj, Boolean& dataReady)
at System.Data.SqlClient.SqlCommand.FinishExecuteReader(SqlDataReader ds, RunBehavior runBehavior, String resetOptionsString)
at System.Data.SqlClient.SqlCommand.CompleteAsyncExecuteReader()
at System.Data.SqlClient.SqlCommand.EndExecuteNonQueryInternal(IAsyncResult asyncResult)
at System.Data.SqlClient.SqlCommand.EndExecuteNonQuery(IAsyncResult asyncResult)
at System.Threading.Tasks.TaskFactory`1.FromAsyncCoreLogic(IAsyncResult iar, Func`2 endFunction, Action`1 endAction, Task`1 promise, Boolean requiresSynchronization)
--- End of stack trace from previous location where exception was thrown ---
at Dapper.SqlMapper.ExecuteImplAsync(IDbConnection cnn, CommandDefinition command, Object param) in C:\projects\dapper\Dapper\SqlMapper.Async.cs:line 678
at Railways.DbManager.Repositories.DbmIndexDefragmentationRepository.RebuildIndex(String tableName, String indexName) in C:\Railways\asu-itk-core\Railways\Railways.DbManager.Repositories\DbmIndexDefragmentationRepository.cs:line 48
at Railways.DBManager.Services.IndexDefragmentationService.DefragIndexes() in C:\Railways\asu-itk-core\Railways\Railways.DBManager.Services\IndexDefragmentationService.cs:line 41
ClientConnectionId:7db4e7f6-e01d-4671-9fe3-e22dcb388cd4
Error Number:102,State:1,Class:15
这里可能出了什么问题?
我只是传递参数,这应该可以工作。
也许我错过了什么?有人可以提出解决方案吗?
最佳答案
您将无法参数化 SQL 语句中使用的目标对象名称,即表名称和索引名称无法参数化。这不仅仅是 Dapper 的限制 - 例如ADO.Net 和 sp_executesql 同样无法参数化表。 (据推测,参数化不仅可以防止 SQL 注入(inject)攻击,还可以改进基于确切数据类型的执行计划缓存 - 如果目标表是动态的,计划缓存显然是不可能的)。
在您的情况下,您需要执行自己的 SQL 注入(inject)检查(如果需要,索引名称和表名称来自不受信任的用户是极不常见的),然后只需将该名称替换为 SQL 语句即可,例如通过 string interpolation或String.Format。
如果您确实接受来自不受信任用户的表或索引名称,并且需要防范 SQL 注入(inject)攻击,则可以使用 Aaron Betrand's advice在执行 SQL 语句之前,首先检查 sys.tables 中的表是否存在,以及 sys.indexes 中的索引是否存在。
编辑
您可以在针对 system 表(例如 sys.tables)和 DMV(例如 sys.tables)的查询中参数化表名称的原因。 dm_db_index_physical_stats 是因为在这里,表或其他对象的名称是列中的值。但同样,您将无法参数化系统表或 DMV 本身的名称。
关于c# - @indexName 附近的语法不正确。衣冠楚楚,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/55539781/