Имя переменной таблицы с использованием динамического SQL в C #
Мы искали способ ввода имени переменной таблицы, и кажется, что лучший способ - использовать динамический sql, хотя это может привести к внедрению SQL. Кто-нибудь может продемонстрировать, как это делается в C #? Например, я хочу что-то реализовать что-то вроде этого:
SqlCommand command= new SqlCommand("SELECT x FROM @table WHERE @column = @y", conn);
Как видно из этого, имя таблицы и имя столбца будут переменными. Ранее я использовал конкатенацию строк, но я хочу избежать этого в целях безопасности. Не уверен, что это важно, но таблица и столбец не определяются пользовательским вводом, а фактически определяются ссылками, которые выбирает пользователь, поэтому, возможно, SQL-инъекция нене проблема здесь?