Я использую Dapper в своем проекте и хочу передать имя таблицы в качестве динамического параметра в запросе.
Это мой код: < /p>
var tableName = GetTableNameDynamically();
using (var builder = new SqlCommandBuilder())
{
tableName = builder.QuoteIdentifier(tableName);
}
string qry = $"select case when exists(select 1 from "+ tableName +" where Id = @Id) then 1 else 0 end";
return await sqlConnection.QuerySingleAsync(qry, new { Id = id }, sqlTransaction);
< /code>
Когда я запускаю сканер Sonarqube, я получил такую ошибку, подобную этой
, убедитесь, что использование динамически отформатированного SQL -запроса здесь безопасно. »
Как его исправить? Я не могу использовать хранимые процедуры.
Спасибо!
Подробнее здесь: https://stackoverflow.com/questions/794 ... -injection
