|zyciis| 关于数据库传参的理解,我以前只是对查询条件为参数，但现在我想对表进行可以吗谢谢

如我原来的程序对传参是这样的String sql = @"SELECT CardName FROM MyTab WHERE CardCode = #CardCode";
oo.DbOperator.Parameters.Add(Parameter.Sql("@CardCode", ParameterDbType.VarChar, 4, CardCode));
reVal = oo.DbOperator.ExecScalar(sql).ToString();但现在我的这个MyTab表是别一个数据库的表
然后程序如下String DbServer = "OPENROWSET('SQLOLEDB', '" + info.DB_Server + "'; '" + info.DB_User + "'; '" + info.DB_Pass + "', " + info.DB_Name + ".dbo.";
String sql = @"SELECT CardName FROM " + DbServer + "MyTab WHERE CardCode = @CardCode";
oo.DbOperator.Parameters.Add(Parameter.Sql("@CardCode", ParameterDbType.VarChar, 4, CardCode));
reVal = oo.DbOperator.ExecScalar(sql).ToString();但是这样的话，如果在Dbserver被写了SQL语入的语句的话这里会被注入
那能不能改为String sql = @"SELECT CardName FROM @MyTab WHERE CardCode = @CardCode";
oo.DbOperator.Parameters.Add(Parameter.Sql("@MyTab", ParameterDbType.VarChar, 500, "OPENROWSET('SQLOLEDB', '" + info.DB_Server + "'; '" + info.DB_User + "'; '" + info.DB_Pass + "', " + info.DB_Name + ".dbo."));
oo.DbOperator.Parameters.Add(Parameter.Sql("@CardCode", ParameterDbType.VarChar, 4, CardCode));
reVal = oo.DbOperator.ExecScalar(sql).ToString();
谢谢也就是说“表名”，“远程数据库链接”
能否用参数型式来防止被注入谢谢

解决方案 »

免费领取超大流量手机卡，每月29元包185G流量+100分钟通话, 中国电信官方发货

肯定不行。。sql语句是先找到数据库再匹配参数。
SELECT CardName FROM @MyTab  // 非常确定的，表名动态是不可以的！
在SQL Server 2005或更早的版本中的数据库中，表变量是不能作为存储过程的参数的。
SQL Server 2008中的T-SQL功能新增了表值参数。
利用这个新增特性，我们可以很方便的将一个表作为参数传给存储过程。
具体参考：http://msdn.microsoft.com/zh-cn/bb675163.aspx
http://msdn.microsoft.com/zh-cn/bb675163.aspx]http://msdn.microsoft.com/zh-cn/bb675163.aspx]http://msdn.microsoft.com/zh-cn/bb675163.aspx

|zyciis| 关于数据库传参的理解,我以前只是对查询条件为参数，但现在我想对表进行可以吗 谢谢

解决方案 »

|zyciis| 关于数据库传参的理解,我以前只是对查询条件为参数，但现在我想对表进行可以吗谢谢