SqlParameter[] paras = new SqlParameter[] { new SqlParameter("@colname", "id,name,role") };
string sql = "select @colname from demo"以上的代码是实现不了的问题:如果不采用存储过程,代码直接传递字符串sql语句,能不能在sql语句的列名上使用参数化(例如上面代码)?sql 参数化
解决方案 »
- 程序的性能测试工具及压力测试工具
- asp.net报表求助
- 高手帮忙下System.Windows.Browser.Net命名空间不存在
- 菜鸟问题,求高手解答
- fckeditor编辑器在子目录下,如何传图片,怎样配置路径
- 使用自定义控件后无法使用DropdownList控件的SelectedIndexChanged事件 附件中有我写的有问题的程序,大家哟空帮我看看这是为什么啊?谢谢啦
- 关于C#一个处理用户的危险输入或不安全输入,把不安全的HTML脚本替代为安全的可用字符的类的问题,高手请进,谢谢
- 我在IIS里面就运行不出我的网站了
- vs.net无法启动调试的问题
- C# 怎么实现事务的开始,会滚和提交
- 跪求大虾。干掉它,您就是我的神。。。
- 开发ASP.NET, 用户控件和WebPart在用途方面有什么作用?
可以啊,没有要求一定要存储过程啊
string[] columns = { "id", "name", "role" };
string sql = string.Format("select {0} from demo", string.Join(", ", columns));
不如把整个sql参数化好了SqlParameter[] paras = new SqlParameter[] { new SqlParameter("@sql", "select id,name,role from demo") };
string sql = "@sql"
真的没有办法参数化吗,不能的话你这样写也没什么作用,无法阻止这么写string[] columns = { "top 10 id", "name", "role" };,还是直接传递字符串再判断吧
columns = paras.Select(x => x.Value.ToString()).ToArray();
还是拼字符串吧