我如何从表中选择表名指定为SqlParameter
本文关键字:SqlParameter 选择 | 更新日期: 2023-09-27 18:09:39
我正在尝试执行动态sql选择,我正在使用参数从表中选择。
SELECT null FROM @TableName
然而,我得到错误must declare table variable @TableName。我怀疑这是因为我正在使用变量从表中进行选择。我以前不需要这样做。
List<SqlParameter> sqlParams = new List<SqlParameter>()
{
new SqlParameter("TableName", "testtable"),
new SqlParameter("FieldName", "testfield"),
new SqlParameter("Find", "testfind"),
};
string sqlSelect = "SELECT null FROM @TableName
WHERE @FieldName LIKE '%' + @Find + '%' ";
DataTable dtSelect = SqlHelper.ExecuteDataset(sqlConn, CommandType.Text,
sqlSelect, 30, sqlParams.ToArray()).Tables[0];
//30 = timeout
如何使用动态sql执行上述操作?(请不要使用存储过程)
不能将参数用于表名和列名等内容。对于这些,您可以有一个可能值的白名单,然后在构建SQL查询时使用字符串连接。
您不能使用这样的参数,因此您必须将查询构建为字符串。你可以在SQL中这样做,但你也可以在c#代码中创建字符串。
确保表名和字段名是安全可信的值,而不是直接来自不安全的来源,如web请求。
string tableName = "testtable";
string fieldName = "testfield";
List<SqlParameter> sqlParams = new List<SqlParameter>() {
new SqlParameter("Find", "testfind"),
};
string sqlSelect =
"SELECT null " +
"FROM " + tableName + " " +
"WHERE " + fieldName + " LIKE '%' + @Find + '%' ";
private DataTable ExecuteDynamic(string TableName,string FieldName, string Find)
{
string sqlSelect = "SELECT * FROM " + TableName +
" WHERE " + FieldName + " LIKE '%'" + Find + "'%' ";
using (connection = new SqlConnection(Strcon))
connection.Open();
{
using (cmd = new SqlCommand(sqlSelect, connection))
{
cmd.CommandType = CommandType.Text;
cmd.CommandTimeout = 60;
adpt = new SqlDataAdapter(cmd);
dt = new DataTable();
adpt.Fill(dt);
return (dt);
}
}
}